De General Data Protection Regulation (“GDPR”) vereist inspanningen op korte én lange termijn

De General Data Protection Regulation (“GDPR”) vereist inspanningen op korte én lange termijn!

13 oktober 2017

Nog 225 dagen en uw bestuur/onderneming wordt geconfronteerd met nieuwe Europese regelgeving inzake de verwerking van persoonsgegevens. De GDPR verbindt in vergelijking met haar voorganger - de Europese richtlijn 95/46/EG, die in België is omgezet door de Wet Verwerking Persoonsgegevens van 8 december 1992 (de “Privacywet”) - diverse nieuwe én streng gesanctioneerde (cfr. voor bepaalde inbreuken kunnen de boetes oplopen tot miljoenen euro's) voorwaarden aan de verwerking van persoonsgegevens. Ondanks de GDPR vanaf haar inwerkingtreding op 25 mei 2018 directe werking heeft én in principe geen nationale omzetting behoeft, lijken - mede ingevolge onze digitaliserende maatschappij - verdere (nationale) initiatieven niet onwaarschijnlijk respectievelijk mogelijks vereist. 

De GDPR handhaaft diverse basisprincipes uit de huidige regelgeving, maar legt - onder bepaalde omstandigheden - ook belangrijke nieuwe verplichtingen op aan ondernemingen/besturen die persoonsgegevens verwerken, o.a. de aanstelling van een data protection officer, het bijhouden van een dataregister, de verplichting om onder bepaalde omstandigheden verwerkte persoonsgegevens (zonder onredelijke vertraging) te wissen (cfr. het recht om vergeten te worden), het tijdig melden van inbreuken op de GDPR, het nemen van bepaalde technische en organisatorische maatregelen ...

Eén van de nieuwe verplichtingen heeft betrekking op een essentiële vereiste voor de verwerking van persoonsgegevens - met name: een rechtmatig(e) belang/grondslag - én lijkt niet geheel onomstreden. De GDPR beschouwt een gegevensverwerking als rechtmatig (onder meer) in het geval van een  “actieve” handeling van de betrokkene (bijvoorbeeld: het aanvinken van een vakje), waaruit zijn/haar ”vrijelijke, specifieke, geïnformeerde en ondubbelzinnige” toestemming blijkt om zijn/haar persoonsgegevens te laten verwerken. De huidige regelgeving verwijst louter naar een  “ondubbelzinnige” (lees: mogelijks impliciete) toestemming van de betrokkene.

De vraag kan worden gesteld of de invoering van de “actieve” toestemming verenigbaar is met de verdere digitalisering/technologisering van onze maatschappij respectievelijk werkbaar is/zal blijven. Is een actieve toestemming realistisch in een maatschappij waar diverse persoonsgegevens (bijvoorbeeld: foto's, initialen, IP-adressen ...) worden verwerkt (met name: het al dan niet via een automatisch procedé verzamelen, opslaan, raadplegen, verspreiden ...) in smart cities, via drones of via sociale media? Bovendien lijkt de positie van een overheidsinstantie (vaak) het “vrijelijk” karakter van de “actieve” toestemming van de betrokkene te kunnen ontnemen.

De vraag kan worden gesteld of de verwerking van persoonsgegevens door gedigitaliseerde besturen en ondernemingen  niet vaak gemotiveerd zal moeten worden  op basis van een andere grondslag dan de - in de GDPR voorziene -  “actieve” toestemming. Artikel 6 van de GDPR voorziet - in lijn met de Privacywet - enkel als alternatieve grondslagen voor een rechtmatige verwerking  van persoonsgegevens (specifieke/casuïstische gevallen buiten beschouwing gelaten):

“c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. (...);

Behoudens in het geval de verwerking van persoonsgegevens kan worden gemotiveerd op basis van het openbaar gezag of algemeen belang (hetgeen volgens de tekst van de GDPR zelfs voor overheidsinstanties niet steeds het geval zal zijn), lijkt de rechtmatigheid van de gegevensverwerking gemotiveerd te moeten worden op basis van een (in te voeren) nationale wettelijke basis.

De GDPR voorziet uitdrukkelijk dat in voormelde gevallen c) en d) de lidstaten specifiekere regels/voorwaarden voor de verwerking van persoonsgegevens kunnen invoeren.

Rekening houdende met voormelde, lijkt de GDPR mogelijks slechts een eerste stap in de evolutie van de regelgeving inzake de verwerking van persoonsgegevens. Ons advies luidt dan ook om - rekening houdende met de naderende deadline van 25 mei 2018 - heden de voorbereidingen te starten om uw onderneming/bestuur (tijdig) af te stemmen op de (gekende) bepalingen van de GDPR, doch eveneens de verdere (mogelijks nationale) evoluties/ontwikkelingen in onderhavige materie op de voet te volgen.

To be continued!


Auteur: Willem Mariën 

Meer info?

Contacteer Cies Gysen 
Advocaat - Vennoot 
t 015/40 49 40 of cies.gysen@gdena-advocaten.be

Contacteer Willem Mariën
Advocaat
t 015/40 49 40 of willem.marien@gdena-advocaten.be