College 21-09-2018 Privacy & Gegevensbescherming Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT) Tilburg University, Netherlands www.bartvandersloot.nl
Overzicht blok 2 Privacy & Gegevensbescherming 21-09-2018 10.45-12.30 CubeZ218 Achtergrond AVG en Toepassing AVG 26-09-2018 14.45 – 16.30 CubeZ220 Algemene beginselen en FIPS 03-10-2018 14.45 – 16.30 CubeZ220 Rechten en plichten in de AVG 10-10-2018 14.45 – 16.30 CubeZ220 Handhaving van de AVG
Overzicht vandaag 10.45-11.30 - Achtergrond AVG 11.30-11.45 - Pauze 11.45-12.30 – Toepassing AVG
Voorstellen Bart van der Sloot specialiseert zich op het gebied van Privacy en Big Data. Ook publiceert hij regelmatig over de aansprakelijkheid van internet intermediairs, gegevensbescherming en internetregulering. Actuele kernpunten zijn de onlangs door de Europese Unie aangenomen Algemene Verordening Gegevensbescherming, internationale gegevensstromen, met name tussen Europa en de Verenigde Staten, en datalekken. Bart van der Sloot heeft recht en filosofie gestudeerd in Nederland en Italië en heeft tevens met succes het Honoursprogramma van de Radboud Universiteit afgerond. Hij werkt bij het Tilburg Institute for Law, Technology, and Society van de Tilburg University. Voorheen werkte Bart bij het Instituut voor Informatierecht, Universiteit van Amsterdam, en bij de Wetenschappelijk Raad voor Regeringsbeleid (WRR) (onderdeel van het ministerie van Algemene Zaken) aan een rapport over de regulering van Big Data in verband met veiligheid en privacy. In dat kader was hij ook de eerste editor van een wetenschappelijk boek met gastbijdrages van vooraanstaande internationale wetenschappers en de eerste auteur van een internationaal, rechtsvergelijkend onderzoek naar de regulering van Big Data.
Overzicht eerste uur 1. Belangrijkste begrippen 2. Wat is de Algemene Verordening Gegevensbescherming? 3. Is het recht op gegevensbescherming hetzelfde als het recht op privacy? 4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht 5. Het wie, wat, waar en waarom van de AVG ? 6.Waarom is het belangrijk om de Verordening te respecteren?
1. Belangrijkste begrippen Het datasubject, in het Nederlands ook wel ‘de betrokkene’ genoemd, is de persoon over wie gegevens worden verwerkt. In de zin ‘Erik heeft blauwe ogen en een rode stropdas aan’ is Erik het datasubject. De verantwoordelijke voor de gegevensverwerking verwerkt deze gegevens. Hij is degene die het doel van die verwerking bepaalt en ook hoe de gegevens worden verzameld, opgeslagen en gebruikt. Bijvoorbeeld een pizzeria die de naam en postcode opslaat van klanten is een verantwoordelijke. De verantwoordelijke kan hierbij worden geholpen door een verwerker, die in opdracht van de verantwoordelijke gegevens verwerkt. Dit is bijvoorbeeld een bedrijf dat wordt ingehuurd om gegevens op te slaan of te analyseren.
1. Belangrijkste begrippen Als een verantwoordelijke of verwerker gegevens verwerkt over EU-burgers, maar zelf niet is gevestigd in de EU, dan moet hij een vertegenwoordiger aanstellen. Deze persoon is het aanspreekpunt voor die organisatie binnen de EU, bijvoorbeeld als het datasubject een klacht wil indienden of als de handhavende overheidsinstantie onderzoek wil verrichten. Binnen veel dataverwerkende organisaties moet een Data Protection Officer of in het Nederlands, een Functionaris voor de Gegevensbescherming worden aangesteld. Deze persoon is er voor verantwoordelijk dat binnen een organisatie de regels aangaande het gegevensbeschermingsrecht worden nageleefd en is het primaire aanspreekpunt voor vragen over de Algemene Verordening Gegevensbescherming, zowel binnen de organisatie als naar buiten toe, bijvoorbeeld in het geval het datasubject een klacht wil indienen of als de handhavende overheidsinstantie onderzoek wil verrichten. Elk land heeft een toezichthoudende autoriteit. In Nederland is dat de Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens.
1. Belangrijkste begrippen Deze landelijke toezichthouders zijn momenteel verenigd in de zogenoemde Artikel 29 Werkgroep (ingesteld door artikel 29 van de Richtlijn bescherming persoonsgegevens). Deze werkgroep gaf over onderwerpen niet juridisch bindende, maar wel zeer invloedrijke adviezen af. Deze werkgroep wordt in de Verordening vervangen door de European Data Protection Board, of in het Nederlands, het Europees Comité voor Gegevensbescherming. Deze organisatie krijgt een sterkere positie en meer bevoegdheden dan de voormalige Artikel 29 Werkgroep. De European Data Protection Supervisor is een adviesorgaan gelijk aan de Artikel 29 Werkgroep, maar dan voor de gegevensverwerking door de Europese Unie zelf, bijvoorbeeld als de European Medicines Agency (EMA) persoonsgegevens verwerkt. In dat geval is niet de Algemene Verordening Gegevensbescherming van toepassing, maar een aparte Verordening. Ook de adviezen van de European Data Protection Supervisor zijn vrij invloedrijk.
1. Belangrijkste begrippen - De Unie is een afkorting van de Europese Unie. - De Commissie is een afkorting voor de Europese Commissie, zeg maar de regering van de Europese Unie. - Een lidstaat is een land dat is aangesloten bij de Europese Unie, zoals bijvoorbeeld Nederland, Duitsland en Italië. - Het Europees Hof van Justitie is de hoogste rechter van de Europese Unie en gaat over de interpretatie van het Handvest van de Grondrechten, de Algemene Verordening Gegevensbescherming en andere documenten van de Europese Unie. - Het Europees Hof voor de Rechten van de Mens is de hoogste rechter van de Raad van Europa en gaat over de interpretatie van het Europees Verdrag voor de Rechten van de Mens. Bij de Raad van Europa zijn vrijwel alle Europese landen aangesloten, bij de Europese Unie slechts 28 landen.
2. Wat is de Algemene Verordening Gegevensbescherming? Algemene Verordening Gegegevensbescherming vervangt de Richtlijn bescherming persoonsgegevens uit 1995 De Wet bescherming persoonsgegevens is een implementatie van de Richtlijn De Verordening is aangenomen in 2016 en is van toepassing gegaan in mei 2018 De Verordening beslaat 88 pagina’s, 173 overwegingen en 99 artikelen
2. Wat is de Algemene Verordening Gegevensbescherming? Artikel 99 Inwerkingtreding en toepassing 1.Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie. 2.Zij is van toepassing met ingang van 25 mei 2018. 4.5.2016 L 119/87 Publicatieblad van de Europese Unie NL
3. Is het recht op gegevensbescherming hetzelfde als het recht op privacy? Artikel 8 Recht op eerbiediging van privé-, familie en gezinsleven 1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
3. Is het recht op gegevensbescherming hetzelfde als het recht op privacy? HANDVEST VAN DE GRONDRECHTEN VAN DE EUROPESE UNIE Artikel 7 Eerbiediging van het privé-leven en het familie- en gezinsleven Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Artikel 8 Bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.
3. Is het recht op gegevensbescherming hetzelfde als het recht op privacy? Universele Verklaring van de Rechten van de Mens Artikel 12 Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft eenieder recht op bescherming door de wet.
3. Is het recht op gegevensbescherming hetzelfde als het recht op privacy? 1. Achtergrond privacy: eeuwenoud - verdeling private en publieke ruimte 2. Achtergrond gegevensbescherming: begint in de jaren 70 – gaat om de goede omgang met data 3. Verschil in materiele reikwijdte: privacy breder recht, maar er valt ook meer onder gegevensbescherming dan onder privacy 4. Verschil in mate van regulering: privacy met name op grondwet/strafrecht niveau – gegevensbescherming 1 A4tje naar nu de AVG 5. Alle verwijzingen naar privacy zijn in de AVG verwijderd – niet privacy by desing, privacy officer, of pia
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht In het begin van de jaren ‘70 van vorige eeuw werd in een aantal Europese landen wetgeving aangenomen over gegevensverwerking In de Verenigde Staten werden in 1973 de zogenoemde Fair Information Principles ontwikkeld In 1973 nam de Raad van Europa een resolutie aan over de verwerking van persoonsgegevens in de private sector In 1974 nam de Raad van Europa een resolutie aan over de verwerking van persoonsgegevens in de publieke sector In 1980 nam de OECD de Guidelines on the Protection of Privacy and Transborder Flows of Personal Data aan
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht In 1981 kwam de Raad van Europa met de Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data In 1995 nam de Europese Unie de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aan In 2016 nam de Europese Unie de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) aan
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht (1) Material scope of the regulations (2) The substantive provisions of the regulations (2a) Obligations (2b) Rights (2c) Assessments (2d) Enforcement FIPs - (1) Transparency (2) Principles of fairness (1) Access to personal data (2) Marginal rights on rectification and erasure Mainly a matter of good governance Resolutions Information relating to individuals (physical persons) (1) Transparency (Pub. Sec) (1) Access right (1) Lawful, appropriate and relevant Recommends governments to take all steps necessary Convention Information relating to an identified or identifiable individual (1) - (1) Access to and communication of personal data (1) Fairly and lawfully (2) Special rules sensitive data (1) Parties shall establish sanctions and remedies (2) Cooperation states & DPAs & role CoM (3) Remedy of data subject if data controller denies request
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Directive Information relating to an identified or identifiable natural person; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity; (1) Information to the data subject & Notification DPA (2) Principles of fairness (3) Grounds for legitimate data processing (1) Access to and communication of personal data (2) Marginal rights on rectification and objection (3) Marginal right against automatic decision making (1) Fairly and lawfully (2) Special rules sensitive data (3) Limitative grounds for processing personal data, e.g. balancing (4) Limitative grounds for processing sensitive data, balancing not included (1) Parties shall establish sanctions and remedies (2) Cooperation states & DPAs + harmonisation through Directive and WP 29 (3) Marginal subjective right to remedy and compensation Regulation Any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person (1) Notification in case of data breach (2) Principles of fairness (3) Grounds for legitimate data processing – increased emphasis on consent (4) Accountability duty (multifaceted) (1) Access to personal data (scope broadened) (2) Right to data portability (3) Rights to rectification and objection (4) Right to be forgotten (5) Right to object against profiling (1) High sanctions (2) Total harmonisation trough Regulation; increased powers Commission and EDPB; better cooperation DPAs (3) Several subjective rights to remedy and compensation
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Toegenomen reikwijdte Meer Rechten Meer Plichten Meer Handhaving Meer tekst Op een hoger niveau geregeld
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Resoluties van 1973 and 1974 bestonden uit 8 respectievelijk 10 artikelen – het waren letterlijk one-pagers De Conventie uit 1981 bestond uit 27 bepalingen De Richtlijn kende 34 artikelen en 72 overwegingen De Vererdening kent 99 artikelen en 173 overwegingen – het besluit in totaal 88 paginas
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Het Verdrag betreffende de werking van de Europese Unie Artikel 16 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Het Europees Parlement en de Raad stellen volgens de gewone wetgevingsprocedure de voorschriften vast betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Op de naleving van deze voorschriften wordt toezicht uitgeoefend door onafhankelijke autoriteiten. De op basis van dit artikel vastgestelde voorschriften doen geen afbreuk aan de in artikel 39 van het Verdrag betreffende de Europese Unie bedoelde specifieke voorschriften.
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Overwerging 12: Artikel 16, lid 2, VWEU machtigt het Europees Parlement en de Raad om de regels vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de regels betreffende het vrije verkeer van die gegevens.
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Artikel 1 Onderwerp en doelstellingen 1.Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. 2.Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. 3.Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Overweging 1: De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Overweging 3: Richtlijn 95/46/EG van het Europees Parlement en de Raad heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te waarborgen.
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Overweging 5: Dankzij de interne markt is een niveau van economische en sociale integratie bereikt dat tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens heeft geleid. De uitwisseling van persoonsgegevens tussen publieke en particuliere actoren, waaronder natuurlijke personen, verenigingen en ondernemingen, is overal in de Unie toegenomen. Het Unierecht noopt de nationale autoriteiten in de lidstaten tot samenwerken en tot het uitwisselen van persoonsgegevens om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat. Overweging 6: Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Overweging 7: Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties. Overweging 8: Voor zover deze verordening bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van deze verordening in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn. Overweging 9: De doelstellingen en beginselen van Richtlijn 95/46/EG blijven overeind, maar de richtlijn heeft niet kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, dat er rechtsonzekerheid heerst of dat in brede lagen van de bevolking het beeld bestaat dat met name online-activiteiten aanzienlijke risico's voor de bescherming van natuurlijke personen inhouden. De lidstaten bieden op het vlak van verwerking van persoonsgegevens uiteenlopende niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, met name de bescherming van persoonsgegevens, wat het het vrije verkeer van persoonsgegevens binnen de Unie in de weg kan staan. Die verschillen kunnen dan ook een belemmering vormen voor de uitoefening van economische activiteiten op Unieniveau, de mededinging verstoren en de overheid beletten de taak die zij uit hoofde van het Unierecht heeft, te vervullen. Die verschillende beschermingsniveaus zijn toe te schrijven aan de verschillen in de uitvoering en toepassing van Richtlijn 95/46/EG.
4. Korte schets van de ontwikkeling van het gegevensbeschermingsrecht Overweging 10: Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van Richtlijn 95/46/EG beschikken de lidstaten over verscheidene sectorgebonden wetten op gebieden waar behoefte is aan meer specifieke bepalingen. Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën („gevoelige gegevens”) betreft. In zoverre staat deze verordening niet in de weg aan lidstatelijk recht waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt. Overweging 11: Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten.
5. Het wie, wat, waar en waarom van de AVG? EU – 28 lidstaten – 27 op termijn EU: achtergrond kolen en staal/economie EU: Handvest + heel veel andere regulering op het gebied van o.a. telecom EU: Hof van Justitie Raad van Europa: 48 landen in Europa Raad van Europa: EVRM Raad van Europa: Primair op mensenrechten gericht
5. Het wie, wat, waar en waarom van de AVG? 28 landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Koninkrijk der Nederlanden, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië, Verenigd Koninkrijk en Zweden. + ‘adequaat beschermingsniveau’ hebben. + een aantal landen heeft zich gecommitteerd aan een deel van de regels van de Europese Unie middels de Europese Vrijhandelszone, namelijk IJsland, Noorwegen, Zwitserland en Liechtenstein. Daarnaast is er een aantal landen dat graag lid wil worden van de Europese Unie, en dus in het algemeen geneigd is om de regels van de EU te volgen. Dat zijn Albanië, Montenegro, Servië, Macedonië, Bosnië Herzegovina, Kosovo en, voorlopig althans nog, Turkije.
5. Het wie, wat, waar en waarom van de AVG?
5. Het wie, wat, waar en waarom van de AVG? - Een Richtlijn is een document dat is aangenomen door de EU, maar dat landen vervolgens in nationale wetten moeten overnemen (dat wordt ‘implementatie’ genoemd). De Richtlijn bescherming persoonsgegevens moest dus in Nederland geïmplementeerd en dat is gebeurd in de Wet bescherming persoonsgegevens. Ook andere landen van de EU, zoals Duitsland, België en Frankrijk, hebben soortgelijke nationale wetten waarin ze de regels uit de Richtlijn implementeerden. Er is bij een Richtlijn wat speelruimte voor landen om hun eigen interpretatie van de regels te geven en de regels op hun eigen manier vast te leggen in nationale wetgeving. Dit leidt er dus toe dat elk land een iets andere nationale wet heeft, en er verschil is tussen het gegevensbeschermingsrecht in bijvoorbeeld Duitsland en Nederland. - Een Verordening heeft in tegenstelling tot een Richtlijn ‘direct effect’. Dat betekent dat burgers zich direct op de Verordening kunnen beroepen en dus hebben organisaties die persoonsgegevens verwerken de Verordening als zodanig te respecteren. Waar er concrete regels, plichten en rechten in de Algemene Verordening Gegevensbescherming staan hoeven deze regels niet op nationaal niveau in wetten worden neergelegd (zoals bij een Richtlijn het geval is).
5. Het wie, wat, waar en waarom van de AVG? Nuance verschil Richtlijn en Verordening Sommige bepalingen in een Richtlijn hebben toch direct effect Voorbeeld: ‘Article 7(f) of Directive 95/46 has direct effect.’ Joined Cases C-468/10 and C-469/10, Sommige bepalingen in een Verordeningen worden toch per land nader uitgelegd Voorbeeld: bepalingen over het verwerken van gevoelige/bijzondere persoonsgegevens
5. Het wie, wat, waar en waarom van de AVG? 1. Er bestonden grote verschillen in de manier waarop landen van de Europese Unie de regels uit de Richtlijn in hun nationale wetgeving hadden geïmplementeerd. 2. Het tweede probleem was dat de handhaving van de gegevensbeschermingsregels nog steeds op landelijk niveau gebeurde. 3. Omdat er weinig mogelijkheden waren voor sancties en boetes waren neergelegd in de Richtlijn bescherming persoonsgegevens, was de praktijk dat niet alle bedrijven en organisaties het even nauw namen met de gegevensbeschermingsregels. 4. Het gegevensbeschermingsrecht gaat nu nog primair uit van controle en handhaving vanuit de door de overheid ingestelde handhavingsorganisatie. 5. In de Richtlijn stond een klein aantal rechten van datasubjecten, de personen over wie persoonsgegevens worden verwerkt.
5. Het wie, wat, waar en waarom van de AVG? Wie heeft de AVG aangenomen? Raad van Ministers Europees Parlement > Binnen het Parlement was Jan-Philip Albrecht (groenen) de leider Wie heeft de AVG voorgesteld? Commissie (2012) Wie hebben er invloed gehad op de AVG? De AVG is wetgeving waarover een ongekende lobby is gevoerd, zowel vanuit het (Amerikaanse) bedrijfsleven als door burgerrechtenorganisaties
5. Het wie, wat, waar en waarom van de AVG? De AVG is zeer uitgebreid en complex Tegelijkertijd zijn de meeste bepalingen open en geven ze geen precieze instructie over wat je wel of niet mag doen met persoonsgegevens Het
6.Waarom is het belangrijk om de Verordening te respecteren? 1. Partnerorganisaties: 2. Klantencontacten: 3. Reputatie(schade) 4. Organisatie-inrichting: 5. Sancties en boetes:
6.Waarom is het belangrijk om de Verordening te respecteren? Administratieve geldboeten kunnen oplopen tot: - 10 000 000 Euro of, - voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, in het geval één van de volgende regels wordt overtreden: minderjarige om toestemming Documentatieplicht Data Protection Officer Data Protection Impact Assessement Technische en organisatorische veiligheidsmaatregelen Meldplicht datalekken Certificeringsprogramma
6.Waarom is het belangrijk om de Verordening te respecteren? Administratieve geldboeten kunnen oplopen tot: - 20 000 000 Euro of, - voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, in het geval één van de volgende regels wordt overtreden: Fair Information Principles Geen legitieme verwerkingsgrondslag Geen legitieme verwerkingsgrondslag bijzondere persoonsgegevens Geen legitieme verwerkingsgrondslag doorvoer gegevens Transparantiebeginsel Rechten datasubject Aanwijzingen AP
Pauze
Overzicht tweede uur 1. Wat zijn persoonsgegevens? 2. Was is verwerken? 3. Wat is een verantwoordelijke? 4. Waar is de AVG van toepassing? 5. Wat zijn de uitzonderingen?
1. Wat zijn persoonsgegevens? Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 1) „persoonsgegevens”:alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
1. Wat zijn persoonsgegevens? Overweging 26: De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
1. Wat zijn persoonsgegevens? Overweging 27: De onderhavige verordening is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.
1. Wat zijn persoonsgegevens? Overweging 30: Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.
1. Wat zijn persoonsgegevens? Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 5) „pseudonimisering”:het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
1. Wat zijn persoonsgegevens? Overweging 28: De toepassing van pseudonimisering op persoonsgegevens kan de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten. Overweging 29: Om stimuli te creëren voor pseudonimisering bij de verwerking van persoonsgegevens zouden, terwijl een algemene analyse mogelijk blijft, pseudonimiseringsmaatregelen moeten kunnen worden genomen door dezelfde verwerkingsverantwoordelijke wanneer deze de noodzakelijke technische en organisatorische maatregelen heeft getroffen om er bij de desbetreffende verwerking voor te zorgen dat deze verordening ten uitvoer wordt gelegd, en dat de aanvullende gegevens om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard. De verwerkingsverantwoordelijke die de persoonsgegevens verwerkt, moet aangeven wie bij dezelfde verwerkingsverantwoordelijke gemachtigde personenzijn.
1. Wat zijn persoonsgegevens? 1. Direct en indirect persoonsgegeven 2. Privé en openbare persoonsgegeven 3. Gevoeling en ongevoelig persoonsgegeven 4. Indentificerende en identificeerbare persoonsgegeven 5. Identificeerbaarheid en individualiseerbaarheid
1. Wat zijn persoonsgegevens? Encryptie Pseudonimiseren Anonimiseren Aggregeren Rechtspersonen – overleden personen – nog te geboren worden personen
1. Wat zijn persoonsgegevens? Working Party 29: Opinion 4/2007 on the concept of personal data: ‘Even ancillary information, such as "the man wearing a black suit" may identify someone out of the passers-by standing at a traffic light. So, the question of whether the individual to whom the information relates is identified or not depends on the circumstances of the case.’ ClientEarth Case C-615/13 P, ‘In so far as that information would make it possible to connect to one particular expert or another a particular comment, it concerns identified natural persons and, accordingly, constitutes a set of personal’
1. Wat zijn persoonsgegevens? Österreichischer Rundfunk and Others, C-465/00, C-138/01 and C- 139/01: the fact that information is provided as part of a professional activity does not mean that it cannot be characterised as a set of personal data Satakunnan Markkinapörssi and Satamedia, C-73/07: The fact that personal data are made public does not mean that the information at issue could no longer be so characterized. Case C-25/17 Tietosuojavaltuutettu v Jehovah’sWitnesses: collection of personal data by members of a religious community in the course of door-to- door preaching falls within the scope of the Directive
2. Wat is verwerken? Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
2. Wat is verwerken? Alles is verwerken Misschien met uitzondering het puur passief doorvoeren van gegevens
2. Wat is verwerken? Artikel 2 Materieel toepassingsgebied 1.Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2. Wat is verwerken? Artikel 4 Definities 6) „bestand”:elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
2. Wat is verwerken? Overweging 15: Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen. Note: neem het liefst altijd de Engelse tekst van de AVG, er staan de nodige vertaalslordigheden in de Nederlandse versie