De Algemene verordening gegevensbescherming uitgewerkt

De Algemene verordening gegevensbescherming uitgewerkt

Inleiding Algemene verordening gegevensbescherming uitgewerkt.

In mijn voorbereiding voor het CIPP/E examen heb ik een uitwerking gemaakt van de Algemene verordening gegevensbescherming. Ik gebruik het als een naslag. Mogelijk kun je er je voordeel mee doen.

Persoonsgegevens en toepasselijkheid

De algemene verordening gegevensbescherming (AVG) gaat over de bescherming van natuurlijke personen i.v.m. gegevensverwerking en het vrije verkeer van persoonsgegevens en is van toepassing op de geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of gaan worden opgenomen.

Het is niet van toepassing op een huishoudelijke activiteit of op een bevoegd autoriteit bij zaken als stafbare feiten, openbare veiligheid etc.

De algemene verordening gegevensbescherming (AVG) is van toepassing op een verwerkingsverantwoordelijke (data controller) en de verwerker (data processor) die in de EU zijn gevestigd. Het maakt daarbij niet uit dat de verwerking buiten de EU plaatsvindt.

Verder is het van toepassing op verwerkingsverantwoordelijke en / of verwerker die zich buiten de unie bevinden maar:

  • Goederen of diensten aanbieden aan betrokkenen in de Unie.
  • Monitoren van gedrag van Unie ingezetenen.

Persoonsgegevens: informatie over een te identificeren (direct / indirect) natuurlijk persoon. Anonieme data valt daarmee niet onder de algemene verordening gegevensbescherming (AVG).

De wet treedt in werking op 25 mei 2018 en vervangt de richtlijn 95/46/EG.

Beginselen inzake verwerking en rechtmatigheid

Artikel 5 geeft volgende beginselen:

  • Rechtmatigheid.
  • Behoorlijkheid.
  • Transparant.
  • Omschreven doeleinden.
  • Minimale gegevensverwerking.
  • Niet langer bewaren dan nodig.
  • Passende technische en organisatorische maatregelen.
  • Verantwoordingsplicht (naleving kunnen aantonen).

Artikel 6 geeft aan wanneer een verwerking rechtmatig is:

  • Toestemming van de betrokkene (lid a).
  • Noodzakelijk voor het uitvoeren van een overeenkomst (lid b).
  • Noodzakelijk voor het uitvoeren wettelijke verplichting van de verwerkingsverantwoordelijke (lid c).
  • Noodzakelijk voor het beschermen van de vitale belangen van betrokkenen (leven en dood kwesties) (lid d).
  • Noodzakelijk voor het uitvoeren van taken van algemeen belang (lid e).
  • Noodzakelijk voor het behartigen van belangen verwerkingsverantwoordelijke of derde, wanneer deze belangen zwaarder wegen dan de belangen van de betrokkene (deze geldt niet voor overheidsinstanties i.r.t. het uitoefenen van hun taak). (lid f).

Wanneer persoonsgegevens worden gebruikt voor een ander doel dan waarvoor deze initieel zijn verzameld en waar de rechtmatigheid niet voorkomt uit toestemming van de betrokkene of unierecht beoordeeld de verwerkingsverantwoordelijke de volgende zaken:

  • Een verband tussen de doeleinden.
  • Het kader waarin de persoonsgegevens zijn verzameld, vooral de verhouding tussen de betrokkene en de verwerkingsverantwoordelijke.
  • Aard van de persoonsgegevens.
  • Gevolgen van de verdere verwerking voor de betrokkene.
  • Het bestaan van passende waarborgen (versleuteling, anonimiseren).

Voorwaarden aan de toestemming betrokkene (art.7)

  • De verwerkingsverantwoordelijke moet kunnen aantonen dat er toestemming is gegeven.
  • Het verzoek om toestemming moet in duidelijke en eenvoudige taal zijn opgesteld.
  • Toestemming kan altijd worden ingetrokken en het intrekken ervan is even eenvoudig als het toestemming geven.
  • Artikel 8 zegt dat de toestemming van een kind alleen mogelijk is vanaf 16 jaar. Lidstaten zijn vrij dit te verlagen tot minimaal 13 jaar. De verwerkingsverantwoordelijke moet redelijke inspanning verrichten om te controleren of iemand een kind is.
  • Maar voor de uitvoering van een service of een contract is toestemming geen geldige rechtsgrond. Dit i.r.t. de verhouding tussen de uitvoerder en de betrokkene.
  • Toestemming voor research doeleinden vaak moeilijk daar deze niet van te voren zijn vast te stellen. Daarom wordt hier vaak gekozen om toestemming te geven voor de verwerkingspolicy dat deze b.v. ethisch is.

Bijzondere persoonsgegevens (art.9)

Ras, etnische afkomst, politieke mening, religie, vakbond lidmaatschap, genetische en biometrische gegevens, gezondheid, seksueel gedrag en gerichtheid mogen niet verwerkt worden. Hierop bestaan de volgende uitzonderingen:

  • Als er toestemming is gegeven.
  • Het een uitvoeringsverplichting betreft zoals sociale zekerheid, arbeidsrecht etc.
  • Het de vitale belangen van betrokkenen beschermt (leven en dood kwesties).
  • Het een stichting etc. zonder winstoogmerk is op gebied van godsdienst, politiek of een vakbond.
  • Het gegevens betreft die door de betrokkene zelf openbaar zijn gemaakt.
  • Het persoonsgegevens zijn noodzakelijk voor een rechtsvordering.
  • Indien het zwaarwegend voor algemeen belang is.
  • Voor preventie, gezondheidszorg, sociale dienst, arbeidsgeschiktheid en volksgezondheid.
  • Voor archivering, algemeen belang, wetenschappelijk en historisch onderzoek of statistiek.

Identificatie (art.11)

Indien een verwerkingsverantwoordelijke persoonsgegevens niet kan identificeren is deze niet verplicht om hiervoor extra gegevens bij te houden. Daarmee hoeft de verwerkingsverantwoordelijke ook niet te voldoen aan de rechten van de betrokkenen (art. 15 – 20). Echter wanneer de betrokkene extra gegevens kan aanleveren waardoor identificatie wel mogelijk wordt gelden de artikelen wel.

Informatie verstrekken op verzoek betrokkene (art.12)

Binnen een maand moet de verwerkingsverantwoordelijke aangeven wat er met het verzoek is gedaan. De termijn kan vervolgens (op aangeven richting de betrokkene) nog eens met twee maanden verlengd worden.

Bij buitensporige opvraging mag verwerkingsverantwoordelijke kosten rekenen of het verzoek weigeren. Wel dient dit aangetoond te worden door de verwerkingsverantwoordelijke.

Te geven informatie als gegevens bij de betrokkene worden verzameld:

  • Contactgegevens verwerkingsverantwoordelijke en mogelijk functionaris gegevensbescherming.
  • Verwerkingsdoeleinden en de rechtmatigheidsgrond.
  • Ontvangers van de persoonsgegevens.
  • Doorzetten naar derde landen.
  • Bewaartermijn.
  • Rechten van de betrokkene uitleggen (art.15-22 rechten).
  • Intrekken toestemming.
  • Bij wettelijke of contractuele verplichtingen dient het gevolg aangegeven worden als er geen toestemming wordt gegeven.
  • Gebruik van profilering.

Als de gegevens niet via de betrokkene zelf zijn verkregen is er 1 extra informatie voorwaarde, namelijk de bron waar de persoonsgegevens vandaan komen. Voor deze situatie is informeren van de betrokkene over de verwerking niet nodig als:

  • De betrokkene de informatie reeds heeft ontvangen.
  • Als het verstrekken van de informatie evenredig veel inspanning zou kosten.
  • Indien de gegevens nodig zijn voor het uitvoeren van een recht.
  • Vertrouwelijk moete blijven vanuit rechtsgronden of een geheimhoudingsplicht.

Rechten betrokkenen (art.15-22 rechten)

Art.16 = recht op rectificatie.

Art.17 = recht op gegevenswissing, kan uitgevoerd worden indien:

  • De gegevens niet langer nodig zijn voor het doel.
  • De toestemming wordt ingetrokken en er is geen andere rechtsgrond.
  • De betrokkene maakt met succes bezwaar tegen de verwerking of maakt bezwaar tegen direct marketing. De laatste wordt altijd gehonoreerd.
  • De persoonsgegevens onrechtmatig zijn verkregen.
  • De persoonsgegevens zijn verzameld voor een aanbod van diensten voor de informatiemaatschappij (art.8 leeftijd kind voor toestemming.)

De verwerkingsverantwoordelijke moet alle gegevens wissen en andere verwerkingsverantwoordelijke aan wie de gegevens zijn doorgezet hierover informeren naar redelijkheid van inspanning.

Art.18 = Beperking verwerking.

  • De gronden komen redelijk overeen met artikel 17. Beperken van verwerking betekent dat gedurende een bepaalde tijd alleen opslag wordt toegestaan van de persoonsgegevens.

Art.19 = Kennisgevingsplicht: van bovengenoemde zaken (rectificatie, wissing, beperking) moeten andere ontvangers van de gegevens door de verwerkingsverantwoordelijke worden geïnformeerd.

Art.20 = Recht op overdraagbaarheid. Dit kan worden toegepast indien het gaat om:

  • Persoonsgegevens die me toestemming zijn verkregen.
  • Verwerking ervan via automatische procedures plaatsvindt.

Art.21 = Recht van bezwaar.

  • Geldt indien de verwerkingsgrond betreft algemeen belang of om de rechten van de verwerkingsverantwoordelijke na te leven.
  • Bij direct marketing is altijd bezwaar mogelijk.

Art.22 = Geautomatiseerde besluitvorming, waaronder profilering. Profilering = geautomatiseerde verwerking om analyse en voorspellingen te doen. Een betrokkene heeft het recht om hier niet uitsluitend aan onderworpen te worden. Mits het volgende betreft:

  • Noodzakelijk voor totstandkoming en uitvoering v/e overeenkomst.
  • Is toegestaan bij recht.
  • Berust op toestemming van de betrokkene.
  • Bovenstaande uitzonderingen gelden niet voor bijzondere persoonsgegevens, tenzij deze zijn verkregen door toestemming of op basis van recht.

Art.23 = beperkt de rechten van een betrokkene, indien het gaat om:

  • Nationale / openbare veiligheid.
  • Landsverdediging.
  • Te maken heeft met voorkoming, onderzoek, opsporing van strafbare feiten.
  • Algemeen belang.
  • Bescherming van onafhankelijke rechterlijke macht.
  • Voorkoming, onderzoek en vervolging voor schendingen v/h beroepsgeheim.
  • Taken op het gebied van toezicht en inspectie op regelgeving.
  • Bescherming van de betrokkene of van de rechten en vrijheden van anderen.
  • Inning van civielrechtelijke vorderingen.

 

Verwerkingsverantwoordelijke en verwerker

Verwerkingsverantwoordelijke

Ar.24 zegt dat de verwerkingsverantwoordelijke:

  • Passende technische en organisatorische maatregelen neemt.
  • Meewerkt met de toezichthouder.
  • Past, indien in verhouding, een gegevensbeschermingsbeleid toe.
  • Goedgekeurde gedragscodes (art.40) en goedgekeurde certificeringsmechanismes (art.42) kunnen helpen om naleving aan te tonen.

Art.27: = Vertegenwoordigers van niet Unie gevestigde verwerkingsverantwoordelijke of verwerkers.

  • Een vertegenwoordiger dient aangesteld te worden binnen de Unie als de verwerkingsverantwoordelijke of verwerker zich bezighoudt met het volgende:
    • Goederen of diensten aanbieden aan betrokkenen in de Unie.
    • Die het gedrag monitoren van ingezetenen.
  • Maar geldt niet als het incidentele verwerking betreft. Echter deze incidentele verwerking mag niet gaan om:
    • bijzondere persoonsgegevens of gegevens i.v.m. strafbare feiten
    • of een overheidsinstantie is die de verwerking uitvoert.
  • Art.30 zegt dat de verwerkingsverantwoordelijke een register moet bijhouden dat volgende gegevens bevat:
    • Naam en contactgegevens incl. eventuele functionaris gegevens bescherming.
    • Verwerkingsdoeleinden.
    • Categorieën persoonsgegevens.
    • Doorgifte aan derde landen.
    • Bewaartermijn.
    • Indien mogelijk algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (art.32).

 

Verwerker (art.28)

  • Neemt geen andere verwerker in dienst zonder toestemming van de verwerkingsverantwoordelijke. Dezelfde verplichtingen gelden als voor 1e verwerker en deze blijft verantwoordelijk.
  • Verwerkt alleen op instructie van de verwerkingsverantwoordelijke.
  • Werkt mee met de toezichthouder.
  • Bij einde contract dienen alle persoonsgegevens te worden overdragen of gewist.
  • De verwerker dient de verwerkingsverantwoordelijke te helpen om aan haar verplichtingen te voldoen.
  • Stelt een verwerkingsverantwoordelijke in kennis van een datalek.
  • Goedgekeurde gedragscodes (art.40) en goedgekeurde certificeringsmechanismes (art.42) kunnen helpen om naleving aan te tonen. Dit staat er zwak, maar wordt aangeraden.
  • Art.30 zegt houdt een register bij van alle bewerkingen, denk hierbij aan: NAW verwerkers, categorie, doorgifte, technische en organisatorische maatregelen.
  • Art.30 zegt dat een register niet van toepassing is wanneer de verwerking incidenteel is.

Echter wel weer als het waarschijnlijk is dat:

  • De verwerking een groot risico inhoudt voor rechten en vrijheden van de betrokkenen.
    • Het bijzondere persoonsgegevens betreft.
    • Het gaat om strafrechtelijke feiten (art.10).

Persoonsgegevensbeveiliging

 Art.32 stelt de volgende eisen aan een verwerking: Passende technische en organisatorische waarborgen die onder meer het volgende omvatten:

  • Pseudonimisering en versleuteling.
  • Het vermogen de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) en veerkracht te garanderen van de verwerkende systemen.
  • Het vermogen om bij een incident te herstellen.
  • Een procedure om op regelmatige tijden de technische en organisatorische maatregelen te evalueren. (ISMS).

Art.33 gaat over het melden van een datalek aan de toezichthouder, hierin staat:

  • Binnen 72 uur dient een verwerkingsverantwoordelijke een datalek te melden, indien dit later plaatsvindt dan dient de reden hiervan gemotiveerd te worden.
  • Een melding dient plaats te vinden als er een risico bestaat voor de betrokkenen.
  • De verwerker informeert de verweringsverantwoordelijke.
  • De melding moet een aantal verplichte zaken inhouden als contactgegevens, aard van de inbreuk, de waarschijnlijke gevolgen, de genomen maatregelen etc.

Art.34 gaat over het melden van een datalek aan de betrokken:

  • Een mededeling moet plaatsvinden als het gaat om een inbreuk met hoog risico voor de betrokkenen.
  • De mededeling moet in eenvoudige taal zijn en moet de verplichte onderwerpen genoemd in art.33 beschrijven.
  • Een mededeling is niet noodzakelijk als:
    • De gegevens onbegrijpelijk zijn (versleuteld).
    • Er achteraf maatregelen zijn genomen die zorgen dat het hoge risico zich niet voordoet.
    • De mededeling evenredig veel inspanning zou kosten.
  • Als de verwerkingsverantwoordelijke geen melding heeft gemaakt kan deze daar door de toezichthouder alsnog toe verplicht worden.

Gegevenseffect beoordeling (PIA)

Art.35 zegt dat een gegevenseffect beoordeling noodzakelijk is als:

  • Het een verwerking betreft waar nieuwe technologie in wordt gebruikt en waar gelet op de aard, omvang, context en doeleinden een hoog risico te verwachten is.
  • Een (1) beoordeling kan een reeks vergelijkbare werkzaamheden bestrijken.
  • Meer concreet wanneer de PIA dient te worden toegepast:
    • Bij profilering.
    • Grootschalige verwerking van bijzondere persoonsgegevens.
    • Stelselmatige en grootschalige monitoring van openbare ruimten.
    • De toezichthouder zal concreter gaan maken, voor welke verwerking een PIA nodig is.
  • Wanneer verwerking wordt uitgevoerd op grond van een wet of algemeen belang en indien voor deze verwerking reeds een algemene effectbeoordeling heeft plaatsgevonden geldt dit artikel niet.

Art.36 zegt dat indien uit de effectbeoordeling blijkt dat er een hoog risico, ondanks redelijke maatregelen is de verwerkingsverantwoordelijke verplicht de toezichthouder toestemming te vragen. De toezichthouder geeft binnen 8 weken een advies en kan dit verlengen met 6 weken. Deze verlenging moet binnen 1 maand gemeld worden.

Functionaris gegevensbescherming (FG)

Art.37 zegt dat er een FG moet zijn indien:

  • De verwerking wordt uitgevoerd door de overheid (behalve gerechten).
  • Het een stelselmatige observatie betreft op grote schaal.
  • Het gaat om grootschalige bijzondere persoonsgegevens of gegevens rond strafrechtelijke zaken als bedoelt in art.10 (denk aan politie, inlichtingendienst).

Eisen aan de FG = kennis en kunde.

  • De FG moet tijdig worden aangehaakt, moet ondersteuning krijgen, geen instructies ontvangen (onafhankelijk) en de organisatie mag niet om de FG heen zaken regelen.
  • Taken FG: advies geven, toezien op naleving, optreden als contact.

Gedragscodes en certificeringen

Gedragscodes

Art.40 zegt dat verenigingen en andere organen (b.v. brancheorganisatie) die een categorie van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen gedragscodes kunnen uitbrengen. De gedragscode of wijzigingen daarop dienen ter goedkeuring worden voorgelegd aan de toezichthouder. Wanneer een gedragscode wordt goedgekeurd zal dit publiekelijk bekend gemaakt worden. Wanneer de gedragscode lidstaten overstijgt moet de code of wijziging voorgelegd worden aan het comité (art.63 procedure). Het comité beoordeelt en legt bij positief advies dit voor aan de commissie. De commissie maakt lidstaat overstijgende gedragscodes publiekelijk bekend.

Art.41 zegt dat gedragscodes kunnen worden gecontroleerd door een orgaan dat hiertoe de kennis heeft. Dit orgaan kan daartoe worden geaccrediteerd. Dit orgaan moet onafhankelijk zijn en procedures hebben om beoordelingen te doen en klachten af te handelen. De criteria voor accreditatie van een dergelijk orgaan moeten aan het comité worden voorgelegd. Dit artikel is niet van toepassing op overheidsinstanties.

Certificeringen (art.42 & 43)

Het voldoen aan een certificering is vrijwillig en doet niets af aan de verantwoordelijkheid. Het certificaat wordt afgegeven voor een periode van 3 jaar. Verder gelden veelal dezelfde zaken als bij gedragscodes. Accreditatie kan door de toezichthouder of een nationale accreditatie instelling, wat is vastgelegd in een EU verordening. Accreditatie wordt afgegeven voor maximaal 5 jaar. De toezichthouder ontvangt informatie van de accrediterende partij wanneer een certificaat is uitgegeven of ingetrokken.

Doorgifte aan derde landen

Doorgifte van persoonsgegevens mag pas plaatsvinden als een bepaalde voorwaarden is voldaan (art.44). De voorwaarden zijn onderstaand benoemd. Als 1 van de voorwaarden vervalt, kan een ander dienst doen om toch de doorgifte te rechtvaardigen:

  • 45 = op basis van een adequaatheidsbesluit. Een adequaatheidsbesluit kijkt naar zaken als rechtsstatelijkheid, eerbiediging rechten burgers, internationale toezeggingen of er een toezichthouder is etc. Het besluit wordt om de 4 jaar getoetst volgens de art.93 onderzoeksprocedure. De commissie maakt bekend welke landen voldoen.
  • Als art.46 niet op gaat mag een doorgifte alleen plaatsvinden als er passende waarborgen zijn. Waarborgen waarvoor geen toestemming vereist is van de toezichthouder zijn:
    • Juridisch bindend en afdwingbaar instrument tussen overheden.
    • Bindende bedrijfsvoorwaarden.
    • Standaardbepalingen die vanuit de commissie volgens de art.93 onderzoeksprocedure zijn vastgesteld.
    • Op basis van gedragscodes en certificeringen.

Waarborgen waar wel toestemming voor nodig zijn:

  • Contractbepalingen.
  • Bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheden. Op deze laatste wordt het art.63 coherentiemechanisme toegepast door de toezichthouder.

Art.47 Bindende bedrijfsvoorwaarden moeten bepaalde elementen bevatten zoals rechten van betrokkenen, toepassing van algemene beginselen inzake persoonsgegevens, klachtenprocedures, etc. De commissie kan het model en procedures nader bepalen in de art.93 onderzoeksprocedure.

Art.48 zegt dat opvragen van persoonsgegevens op basis van een rechterlijke uitspraak of besluit van een administratieve autoriteit niet voldoende is voor doorgeven. Er moet dan ook een internationale overeenkomst zoals een wederzijdse rechtsbijstand aan ten grondslag liggen.

Art 49, kent een afwijking voor specifieke situaties. Doorgifte van persoonsgegevens is toegestaan als:

  • Er toestemming is.
  • Noodzakelijk is voor de uitvoering van een overeenkomst in het belang van de betrokkene.
  • Algemeen belang.
  • Rechtsvordering.
  • Vitale belangen (leven en dood kwesties).
  • Algemeen register om publiek voor te lichten. B.v. register van advocaten, Norea auditors etc.

Als laatste zegt het artikel dat als de doorgifte niet voldoet aan bovengenoemde het alsnog mag indien:

  • Het gaat om een klein aantal betrokkenen.
  • Eenmalig is.
  • Noodzakelijk voor de rechten van de verwerkingsverantwoordelijke, mits de rechten van de betrokkene daarmee niet ondergeschikt worden gemaakt.

Voor bovenstaande zaken moet de verwerkingsverantwoordelijke een analyse hebben gedaan, maatregelen genomen en de toezichthouder en de betrokken informeren. De toezichthouder kan bepalen dat dit niet akkoord is.

Toezichthouder

In ieder land is een toezichthouder. Als er meer zijn wordt er 1 aangewezen die het comité moet vertegenwoordigen. De toezichthouder is niet competent voor gerechten. Als organisaties verwerken op basis van een wettelijke verplichting of taak van algemeen belang is de toezichthouder in de lidstaat competent. Art.56 is dan niet geldig.

Art.56 = Competentie leidende toezichthouder. (gaat voornamelijk om grensoverschrijdend).

  • Een toezichthouder is competent als de hoofdvestiging van de verkeringsverantwoordelijke of verwerker zich in haar land bevindt bij grensoverschrijdende verwerking.
  • Elke toezichthouder is competent voor een bij haar ingediende klacht als deze alleen over de verwerkingsverantwoordelijke of verwerker in de lidstaat gaat. De leidende autoriteit besluit binnen 3 weken of deze de zaak gaat behandelen.
    • Wanneer de leidende autoriteit de zaak gaat behandelen is de art. 60 procedure (samenwerking) van toepassing. De toezichthoudende autoriteit mag een ontwerpbesluit indienen waarmee rekening gehouden dient te worden.
    • Indien de leidende autoriteit de zaak niet behandeld wordt dit door de toezichthouder gedaan waar de klacht is ingediend volgens art 61 (wederzijdse bijstand) en 62 (gezamenlijke werkzaamheden).
  • De leidende autoriteit is bij grensoverschrijdende verwerking de enige gesprekspartner voor de verwerkingsverantwoordelijke en de verwerker.

Art 58 = bevoegdheden van de toezichthouder, kort door de bocht is dit nagenoeg alles wat je kunt bedenken om de naleving te controleren. De volgende corrigerende maatregelen kan een toezichthouder gebruiken:

  • Berispen.
  • Gelasten de verzoeken van de betrokken ten uitvoer te brengen.
  • Gelasten de verwerking in overeenstemming te brengen.
  • Gelasten de inbreuk aan betrokkenen mee te delen.
  • Tijdelijke of definitieve verwerkingsbeperking op te leggen.
  • Rectificeren of wissen van persoonsgegevens eisen.
  • Een certificering intrekken of laten intrekken.
  • Een geldboete op leggen.
  • Opschorten van gegevens stromen naar derde land.

Communicatie toezichthouders

De leidende toezichthouder deelt de informatie met andere betrokken toezichthouders en stelt het ontwerpbesluit vast. Indien binnen 4 weken een betrokken toezichthouder bezwaar maakt tegen het besluit treedt het coherentiemechanisme (art.63) in werking. Indien de leidende toezichthouder besluit het bezwaar te honoreren wordt een nieuw ontwerpbesluit voorgelegd. Hierop moeten de betrokken toezichthouders binnen twee weken reageren. Bij geen reactie wordt het besluit altijd goedgekeurd.

  • Bij toekennen van een klacht informeert de leidende toezichthouder de verwerkingsverantwoordelijke of de verwerker. De betrokkene wordt geïnformeerd door de toezichthouder waar de klacht is ingediend.
  • Indien de klacht wordt afgewezen doet de toezichthouder waar de klacht is ingediend de communicatie.
  • Bij deels afwijzen en deels toekennen worden er twee besluiten genomen. Toekennen wordt door de leidende autoriteit gecommuniceerd en afwijzen door de betrokken toezichthouder.

Samenwerking toezichthouders en comité

Coherentiemechanisme art.63 zegt: Toezichthoudende autoriteiten werken samen met de commissie om een consequente toepassing te garanderen.

Art 64, advies van het comité

Het comité brengt een advies uit wanneer een toezichthouder een ontwerpbesluit wil vaststellen voor onderstaande zaken:

  • Bepalen van verwerkingen waarvoor een gegevens effectbeoordeling vereist is.
  • Nieuw of wijzigen van een gedragscode.
  • Criteria voor accreditatie voor een gedragscode of certificaat.
  • Eisen waaraan de verwerker moet voldoen en onderaannemers v/d verwerker.
  • Standaardbepaling die door een toezichthouder zijn vastgesteld en door de commissie goedgekeurd volgens art 93 procedure.
  • Opstellen van contractbepalingen voor gegevensdoorgifte en bepalingen die in administratieve regelingen tussen overheden moeten zijn opgenomen (passende waarborg, waar voor toestemming nodig is)
  • Goedkeuring bindende bedrijfsvoorschriften.

De toezichthoudende autoriteit, comité en commissie kunnen allen verzoeken dat voor bepaalde besluiten het comité een advies geeft. Dit advies wordt door het comité binnen 8 weken vastgesteld met gewone meerderheid. De termijn kan met 6 weken worden verlengd. Als een lid van het comité niet reageert, wordt er vanuit gegaan dat deze instemt. Zolang het comité de tijd heeft om een advies te geven neemt de toezichthouder geen besluit. Wanneer de toezichthouder besluit het advies van het comité niet op te volgen is art. 65 van toepassing. Er volgt dan een bindend besluit

Art.65 zegt:

  • Er wordt een bindend advies uitgebracht als de toezichthouders onderling het niet met elkaar eens zijn.
  • Wanneer er verschil van mening is wie de leidende toezichthouder is.
  • In het geval een toezichthouder het advies van het comité niet wil opvolgen c.q. bezwaar maakt

Het bindende advies wordt binnen 1 maand bekend gemaakt met 2/3 van stemmen meerderheid. Indien het complex is, mag er nog 1 maand bij genomen worden. Indien er dan geen besluit is wordt er binnen 2 weken een besluit genomen met meerderheid van stemmen. Bij staking hiervan beslist de voorzitter. Binnen 1 maand moet de leidende toezichthouder of de toezichthouder waar de klacht is ingediend het besluit bekend maken.

Bovenstaande procedure kent tijd. Als een toezichthouder vindt dat er geen tijd is kan de spoedprocedure in art. 66 gevolgd worden. De toezichthouder kan dan een voorlopige maatregel nemen voor maximaal 3 maanden. Vervolgens wordt het comité om een dringend advies gevraagd. Het comité moet dit advies binnen twee weken met gewone meerderheid geven.

 Beroep

Onverminderd de andere mogelijkheden van beroep, of via de rechter, heeft iedere betrokkene altijd het recht een klacht in te dienen bij een toezichthouder. Ook kan een rechterlijke procedure tegen een toezichthouder worden gestart. Eveneens tegen een verwerkingsverantwoordelijke en in de AVG nu ook tegen een verwerker. Dit kan door een natuurlijk persoon worden gedaan maar ook door een orgaan of stichting zonder winstoogmerk.

Iedere betrokkene die inbreuk heeft geleden op deze wet heeft het recht om schadevergoeding te ontvangen. Een verwerker is slechts aansprakelijk als hij zich niet gehouden heeft aan de instructies van de verwerkingsverantwoordelijke.

 Boetes

Geldboetes moeten doeltreffend, evenredig en afschrikkend zijn.

Bij een boetebepaling wordt rekening gehouden met zaken als:

  • Aard en ernst inbreuk.
  • Of er nalatigheid in het spel is.
  • De genomen maatregelen om de schade te beperken.
  • De mate waarin er technische en organisatorische maatregelen aanwezig waren en of gegevensbescherming door ontwerp en standaard instellingen is toegepast.
  • Eerder inbreuken.
  • Mate waarin wordt meegewerkt met de toezichthouder.
  • Of het lek gemeld is.
  • Of er aangesloten is bij gedragscodes of certificeringen.

Er zijn twee boete regimes:

Geldboete tot 10 mln. euro of voor een onderneming tot 2% van de jaaromzet indien de verplichtingen uit onderstaande artikelen niet zijn nagekomen.

  • 8: Toestemming kinderen.
  • 11: Verwerking waarvoor identificatie niet vereist is.
  • 25: Gegevensbescherming door ontwerp en standaard instellingen.
  • 26: Gezamenlijke verwerkingsverantwoordelijkheid.
  • 27: Vertegenwoordigers van niet in de Unie gevestigden.
  • 28: Verwerker.
  • 29: Verwerking onder gezag verwerkingsverantwoordelijke of de verwerker.
  • 30: Register van verwerkingsactiviteiten.
  • 31: Medewerking met de toezichthouder.
  • 32: Beveiliging van de verwerking.
  • 33: Melding van inbreuk.
  • 34: Melding van inbreuk aan de betrokkene.
  • 35: Gegevensbescherming effectbeoordeling.
  • 36: Voorafgaande raadpleging.
  • 37: Aanwijzing Functionaris gegevensbescherming.
  • 38: Positie Functionaris gegevensbescherming.
  • 39: Taken Functionaris gegevensbescherming.
  • 42: Certificering.
  • 43: Certificeringsorganen.

Geldboete tot 20 mln. of 4% jaaromzet als de inbreuk betrekking heeft op de volgende categorieën:

  • Beginselen artikelen
    • 5: Beginselen inzake verwerking.
    • 6: Rechtmatigheid van de verwerking.
    • 7: Voorwaarden voor toestemming.
    • 9: Verwerking van bijzondere persoonsgegevens.
  • Rechten van betrokkenen artikelen 12 tot en met 22.
  • Doorgifte naar derde landen.
  • Niet naleven van een bevel tot verwerkingsbeperking, niet verlenen van toegang aan de toezichthouder.

Overige

De Algemene verordening gegevensbescherming wordt in overeenstemming gebracht door de lidstaten met hun wetgeving omtrent vrijheid van meningsuiting en informatie waaronder verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Ook kunnen lidstaten nadere regels bepalen voor het verwerken van persoonsgegevens in een arbeidsrelatie.

Wanneer persoonsgegevens worden verwerkt met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden kunnen lidstaten afwijkingen opnemen ten aanzien van de volgende artikelen:

  • 15: Recht van inzage.
  • 16: Recht op rectificatie.
  • Art18: Recht op beperking van de verwerking.
  • 21: Recht van bezwaar.

Wanneer de persoonsgegevens worden verwerkt met het oog op archivering in het algemeen belang komen daar de volgende artikelen nog bij:

  • 19: Kennisgevingsplicht inzake rectificatie.
  • 20: Recht op overdraagbaarheid.

 

 


Comments are closed.