ELAW BASISCURSUS WBP EN ANDERE PRIVACYWETGEVING
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING Gerrit-Jan Zwenne — 28 november 2013
general data protection regulation
een snelle vergelijking DP Directive 95/46/EC
Draft General DP Regulation
34 articles
91 articles
72 recitals
139 recitals
8 definitions
19 definitions
scope: local processing
scope: global processing
effective through national DP Acts
directly effective
no too many powers delegated to EC
many powers delegated to EC
TRILOGUE TRILOGUE
roadmap (?)
• reikwijdte en werkingssfeer • gerechtvaardigd belang • transparantie • vergeetrecht • meldplicht datalekken • formaliteiten
maatregelen en boetes… • in cases of first and nonintentional non-compliance: a warning in writing • regular periodic data protection audits
per•so•nal da•ta ['pɜ:sn"l deɪt"'] any information relating to an identified or identifiable, or singledout a natural person
any information relating to an identified or identifiable natural person (23) account should be taken of
any information relating to an identified or identifiable natural person
all the means reasonably likely to be used either […] to identify or to single out a natural person
TRILOGUE
Albrecht's «single-out» 'data subject' means an identified natural person or a natural person who can be identified or singled out, directly or indirectly, alone or in combination with associated data
LIBE-version
22 oktober 2013
Art. 4(2) personal data is any information relating to an identified or identifiable natural person… (24) When using identifiers provided by devices, applications, tools and protocols, such as IP addresses, cookie identifiers and RFID tags, [..] unless those identifiers do not relate to an identified or identifiable natural person
“…al gecompliceerd genoeg” “[E]r is geen enkele steun voor het verder verfijnen van het begrip «persoonsgegevens» met categorieën als «singling out». De voorgestelde definitie lijkt Nederland en veel lidstaten al gecompliceerd genoeg..”
materiële werkingssfeer • geautomatiseerde gegevenverwerking • niet geautomatiseerde verwerking in bestand
Art. 2(1)(d) AVGB
uitzonderingen • nationale veiligheid, EUinstellingen, opsporing en vervolging enz. • door een natuurlijke persoon zonder commercieel belang bij de uitoefening van zijn uitsluitend persoonlijke of huishoudelijke activiteiten (EC 25 jan 2012) • door een natuurlijke persoon voor uitsluitend persoonlijke of huishoudelijke activiteiten, incl. publicatie van gegevens voor beperkte groep mensen (LIBE 21 oktober 2013)
geografische toepassing • verwerking van persoonsgegevens in het kader van de activiteiten van vestiging van een verantwoordelijke of bewerker in de EU, én • verwerking door niet in EU gevestigde verantwoordelijke of bewerker die betrekking heeft op: ∼ aanbieden van goederen of diensten aan betrokkenen in de EU, of ∼ observeren van gedrag van betrokkenen in de EU hoe te handhaven?
Art. 4(1) en (2) Wbp Art. 3(1) en (2) a-b AVGB
gerechtvaardigd belang • necessary for the purposes of the legitimate interests pursued by the controller or in case of disclosure, by the third party to whom the data is disclosed, and • which meet the reasonable expectations of the data subject based on his or her relationship with the controller • except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data
art. 6 -1 (f) AVGB
transparantie gedetailleerde informatieplichten • identiteit • doeleinden • bewaartermijnen • inzagerechten • klaagmogelijkheden • ontvangers • derde land doorgifte • profilering en geautomatiseerde besluiten • enz.
art. 13a, 14 ev AVGB
vergeetrecht aanspraak van betrokkene dat gegevens worden verwijderd, en verwijzingen daarneer, zo nodig ook door derden • als die gegevens niet langer nodig zijn in verband met de verwerkingsdoelen • als toestemming is ingetrokken • bewaartermijn verstreken en andere grondslag ontbreekt • als betrokkene heeft bezwaar gemaakt • als verwerking op andere gronden niet voldoet aan de verordening
art. 17 lid 1-2 AVGB
uitzonderingen • vrijheid van meningsuiting • redenen van algemeen belang op het gebied van volksgezondheid • historische, statistische of wetenschappelijke doeleinden • voldoening wettelijke bewaarplichten
bewijslast?
meldplicht datalekken • bij toezichthouder ‘without undue delay’ • bij betrokkene ‘when likely to adversely affect the protection of his/her personal data’
art. 31-32 AVGB
formaliteiten • accountability • documentation • data protection impact assessment (PIA) • data protection compliance review • data protection officer (DPO) art. 22, 28, 33, 33a,35-37, VGB
'one-stop-shop’ bevoegd is de toezichthoudende autoriteit van de belangrijkste vestiging van verantwoordelijke of bewerker
Art. 51 AVGB
An alternative consistency mechanism is proposed which maintains the idea of a lead authority, but also relies on close cooperation between authorities to ensure consistency. Authorities should always be co-competent for supervision in case residents in its Member State are affected.
[email protected]
vragen, discussie?