De nieuwe privacyverordening: wat moeten ondernemingen weten?

Op 4 mei 2016 werd de nieuwe Europese Privacyverordening gepubliceerd. De Privacyverordening is het resultaat van een lange (en vaak moeilijke) onderhandeling tussen de verschillende Europese instellingen, de nationale privacy-autoriteiten, ondernemingen en privacy-activisten.

Peter Van Dyck en Inge Vanderreken, Allen & Overy LLP

PrivacyDe Privacyverordening vormt een significante vooruitgang op de huidige Privacyrichtlijn. Cruciaal is dat het hier een verordening en geen richtlijn betreft, wat betekent dat de regels van de Privacyverordening doorheen de hele Europese Unie zullen gelden, zonder noodzaak voor nationale implementatiewetten (m.u.v. een beperkt aantal bepalingen waar nationale implementatie nog steeds vereist is).
De Privacyverordening bevat een aantal belangrijke nieuwe verplichtingen voor ondernemingen. Bij niet-naleving van deze verplichtingen riskeren ondernemingen uiterst aanzienlijke boetes.


 

Wat moeten ondernemingen weten?
De Privacyverordening zal een belangrijke impact hebben op ondernemingen, en in het bijzonder op de werkgever-werknemer relatie. Een onderneming zal immers rekening moeten houden met de verplichtingen onder de Privacyverordening telkens persoonsgegevens worden verwerkt van een werknemer (bvb e-mails, adresgegevens of evaluaties).
Hieronder geven we een aantal voorbeelden van nieuwe verplichtingen in de Privacyverordening (die niet gelden onder de huidige Privacyrichtlijn):


 

Het recht op vergetelheid
De Privacyverordening voegt een recht in voor elke betrokkene om op hem betrekking hebbende persoonsgegevens te laten verwijderen. Een onderneming die een vraag krijgt van een werknemer om bepaalde persoonsgegevens te verwijderen, moet in principe dan ook op die vraag ingaan.


Op dit recht bestaan evenwel een aantal uitzonderingen, waarop een onderneming zich in bepaalde gevallen zal kunnen beroepen. Dit is bvb het geval wanneer een onderneming een wettelijke plicht heeft om bepaalde werknemersgegevens bij te houden, of wanneer de onderneming kan aantonen dat het een “prevalerende dwingende gerechtvaardigde grond” heeft voor het bijhouden van de persoonsgegevens.


 

Het aanstellen van een functionaris voor gegevensbescherming (de zgn. 'data protection officer')
Bepaalde ondernemingen zullen een functionaris voor gegevensbescherming moeten aanstellen. Dit is onder meer het geval voor ondernemingen die op grote schaal persoonsgegevens verwerken, en voor overheidsinstanties.


Hoewel zulke functionaris een werknemer van de onderneming kan zijn (en allicht vaak zal zijn), kan een onderneming er ook voor kiezen om een externe functionaris aan te stellen op grond van een dienstverleningsovereenkomst. De aangestelde functionaris kan ook andere taken vervullen, zolang die andere taken niet conflicteren met de taken als functionaris voor gegevensbescherming.


 

Melding van een gegevenslek

Ingeval van een inbreuk in verband met persoonsgegevens (wat bvb een lek van persoonsgegevens van werknemers kan zijn), moet de onderneming zulk gegevenslek melden aan de bevoegde privacy-autoriteit binnen 72 uur na kennisname van het gegevenslek.


Bovendien moet de onderneming het gegevenslek dadelijk melden aan de betrokkenen (bij een lek van werknemersgegevens dus de werknemers) indien het gegevenslek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen.


 

Sancties
Belangrijk is dat bij inbreuk op de Privacyverordening boetes kunnen worden opgelegd van maar liefst 4% van de wereldwijde omzet.


 

Wat nu?
De Privacyverordening treedt in werking op 25 mei 2018. Dit geeft ondernemingen nog een tweetal jaar de tijd om de implementatie van de Privacyverordening voor te bereiden.
Gelet op de vele wijzigingen in de Privacyverordening, en de aanzienlijke sancties bij niet-naleving, is het dan ook belangrijk dat ondernemingen zo spoedig mogelijk starten met de voorbereiding van de implementatie van de Privacyverordening.

Meer weten?
Peter Van Dyck en Inge Vanderreken spreken over dit onderwerp op de Leuvense en Gentse Wetsdagen van M&D Seminars. Ze spreken op 6 juli 2016 van 13.45 tot 17.00 in Gent en op 7 juli 2016 van 9.30 tot 13.00 in Leuven.



 

Gepubliceerd op 27-05-2016

  151