GDPR: u bent toch nog met gegevensbescherming bezig?

Op 24 mei 2016 is de Europese GDPR Verordening (General Data Protection Regulation) in werking getreden - in het Nederlands AVG (Algemene Verordening Gegevensbescherming). Deze verordening regelt de verwerking van persoonsgegevens en heeft een aantal wijzigingen meegebracht in de oude Belgische Privacywet. Die wijzigingen betekenen een niet te onderschatten impact voor uw organisatie. De GDPR bevestigt enerzijds de basisprincipes: de beginselen voor een aanvaardbare, rechtmatige en noodzakelijke verwerking van persoonsgegevens (= gegevensverwerking op een rechtmatige grondslag, voor een legitiem doel en zo lang als noodzakelijk). De GDPR heeft anderzijds in een aantal nieuwe verplichtingen voorzien.

Op wie is deze Europese verordening van toepassing?

GDPR is van toepassing op alle private of publieke organisaties (ondernemingen, verenigingen, overheidsinstanties…), die persoonsgegevens verwerken van Europese burgers. Zo is de verordening bijvoorbeeld van toepassing op alle ondernemingen die personeel in dienst hebben. Op het vlak van HR zijn er immers heel wat verwerkingsprocessen van persoonsgegevens. Denk aan loon- en personeelsadministratie, databank met de persoonlijke gegevens van werknemers en sollicitanten, uitwisselen van gegevens met het Sociaal Secretariaat, het jaarlijkse fotoboek,…

Nieuwe verplichtingen voor werkgevers

De plicht om de gegevens op een zo veilig mogelijke manier te verwerken, daarbij gebruik makend van technieken zoals het anonimiseren, pseudonimiseren of encrypteren van gegevens, wordt versterkt.

In plaats van de oude aangifteplicht aan de Privacycommissie moeten vele ondernemingen (vanaf 250 werknemers) een register bijhouden van alle verwerkingsactiviteiten die onder hun verantwoordelijkheid gebeuren.

De privacyverklaring waarin u vroeger bij de verwerking van persoonsgegevens aan de betrokkenen bepaalde informatie verschaft (informatieplicht), moet worden aangevuld met bijkomende informatie zoals wettelijke grondslag (bijv.: wettelijke verplichting of toestemming van betrokkene), termijn van bijhouden, of de gegevens buiten Europa zouden kunnen worden doorgestuurd, dat betrokkene het recht heeft om een klacht in te dienen bij de Gegevensbeschermingsautoriteit, dat hij zijn toestemming kan intrekken (indien de verwerking daarop is gebaseerd) en wie de Data Protection Officer is.

Bij hoge risicosituaties (zoals de introductie van nieuwe technologie) moet er een Privacy Impact Assessment (PIA) worden uitgevoerd. Bij het ontwikkelen van nieuwe producten bijvoorbeeld moet gegevensbescherming van bij het begin worden ingebouwd (privacy by design).

Bepaalde ondernemingen zijn verplicht om een Functionaris voor Gegevensbescherming of Data Protection Officer aan te stellen. Deze functionaris mag niet ontslagen worden om redenen die verband houden met de uitoefening van zijn functie.

Wanneer een gegevenslek waarschijnlijk zal leiden tot schade bij de betrokkene, is er een meldingsplicht aan de Privacycommissie binnen de 72 uur na ontdekking.

Bedrijven met één of meer vestigingen in de Europese Unie die grensoverschrijdende verwerkingen van persoonsgegevens uitvoeren in verschillende Europese lidstaten moeten nog maar met één centraal loket werken.

Nieuwe rechten voor de werknemers en betrokkenen

De betrokkenen genieten onder de GDPR over dezelfde rechten als onder de oude Belgische Privacywet, met enkele verbeteringen en nieuwigheden.

De toestemming van de betrokkene voor de verwerking van persoonsgegevens kan niet worden afgeleid uit een stilzwijgen, maar moet uitdrukkelijk gegeven zijn.

Verzoeken tot toegang van de persoonsgegevens door de betrokkenen moeten binnen de 30 dagen (vroeger 45 dagen) worden behandeld.

Zo hebben de betrokkenen een ‘recht om vergeten te worden’, wat inhoudt dat u onder bepaalde omstandigheden verplicht bent om hun persoonsgegevens te wissen.

Zo is er een betere bescherming tegen direct marketing praktijken, geautomatiseerde besluitvorming (bij sollicitaties via internet bijvoorbeeld) en profilering.

Ook hebben de betrokkenen het recht om hun persoonsgegevens in een gestructureerde en elektronische vorm te verkrijgen (dit is het recht op overdraagbaarheid gegevens of data portability).

Hoger risico op hogere sancties

Met de GDPR moet elke organisatie bewijzen dat ze in overeenstemming met de databeschermingsprincipes handelt, kortom dat ze GDPR-compliant is (omkering bewijslast, rekenschap en verantwoording, accountability).

Betrokkenen kunnen een klacht indienen bij de Gegevensbeschermingsautoriteit en kunnen een schadeclaim indienen bij de rechtbank. Indien een onderneming de voorgestelde regels niet naleeft of overtreedt, loopt zij het risico  op een boete tot 20.000.000 EUR of 4% van de wereldwijde jaaromzet. De bevoegdheden van de Gegevensbeschermingsautoriteitzijn uitgebreid om haar meer armslag te geven, waardoor zij proactief kan optreden en rechtstreeks sancties opleggen waar nodig.

Het is duidelijk dat de privacywetgeving deze keer geen dode letter is gebleven: De Gegevensbeschermingsautoriteit is volledig operationeel sedert mei 2019 en gedurende het voorbije jaar, zijn meer dan 100 inspecties uitgevoerd en 59 sancties uitgesproken.

’13-Stappenplan van aanpak’

Gelet op het belangrijke risico dat privacy (gegevensbescherming) betekent voor een organisatie, zowel voor de werking van haar business als voor haar reputatie, moet u ervoor zorgen dat de nodige maatregelen rond privacy zijn geïmplementeerd. Raadpleeg nog het stappenplan via deze link.

 

 

Tags: GDPR
Neem contact op voor advies op maat

Meer inzicht in impact arbeidsrecht op werkgevers en werknemers?

Ontvang 2 keer per maand onze nieuwe artikels via e-mail.
Schrijf u hier in.

Uw gegevens worden vertrouwelijk behandeld en zullen nooit aan derden worden doorgegeven.