Studiebijeenkomst 18 december 2012
NVBI Proposal General Data Protection Regulation Eva N.M. Visser IT Advocaat Bestuurslid Vereniging Privacy Recht
Inhoud 1. Huidig juridisch kader 2. Doelstellingen en scope Verordening Gegevensbescherming 3. Status Verordening Gegevensbescherming 4. Selectie van in het oog springende wijzigingen: - sancties; - datalekken - privacy by design / default - right to be forgotten - etc…
In a nutshell: huidig juridisch kader
Kenmerken Verordening • Voorstel gepubliceerd op 25 januari 2012 (eerder uitgelekte versie) • Rechtstreekse werking in lidstaten. Burgers kunnen zich er direct op beroepen • Echter, veel delegated acts en implementing acts • Lidstaten behouden discretionaire bevoegdheid
x 27?
Doelstellingen Verordening • Modernisering • Sterker maken interne markt van de EU • Betere bescherming persoonsgegevens en meer controle voor de individuele personen • Verhoging vertrouwen • Harmonisatie binnen de EU • Vereenvoudiging van compliance voor multinationals • Vermindering onnodige administratieve lasten
Scope Verordening • Vervangt Privacyrichtlijn uit 1995(!) (en de Wbp) • Omvang Verordening: - 91 artikelen versus 34 in de Richtlijn - 139 overwegingen versus 72 in de Richtlijn - 19 definities versus 8 in de Richtlijn • Out of scope: – Nationale veiligheid (art. 2(2) sub a) – Preventie, onderzoek, opsporing of vervolging van strafbare feiten en ten uitvoerlegging van straffen (2(2) sub e) – Onderwerp van aparte Richtlijn • Diverse uitzonderingen (e.g. voor middelgrote, kleine of microondernemingen)
Status Verordening • Het voorstel ligt ter goedkeuring bij het Europees Parlement • Daarna goedkeuring Europese Raad • Twee jaar na aanname kan de Verordening in werking treden • Verwachte datum inwerkingtreding: op zijn vroegst in 2015 • Sterke lobby • Definitieve versie zal nog veel aanpassingen ondergaan
Selectie wijzigingen Verordening
Boetes • Variërerend van EUR 250K tot EUR 1 mio • Bij ondernemingen: 0,5% - 2% van de jaarlijkse wereldwijde omzet • Eerst waarschuwing bij: - natuurlijke persoon die persoonsgegevens zonder commerciële belangen verwerkt; - onderneming / organisatie < 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt
Privacy litigation Get ready for an avalanche in Europe?
European Data Protection Board Article 29 Working Party wordt vervangen door Europees Comité voor gegevensbescherming (art. 64) • Vergelijkbare status
Selectie wijzigingen • Vergelijkbare materiële beginselen voor verwerking (art. 5), maar meer expliciet • One-stop-shop jurisdictie voor multinationals (art. 51) - lead DPA - toezichthouder van de hoofdvestiging van de multinational is bevoegd
Toestemming “If you do not want to receive commercial e-mail please do not tick this box”
Meldingsplicht vervalt Wordt vervangen door: • Documentatieverplichting (art. 28) • Uitvoeren van een PIA (Privacy Impact Assessment) bij introductie risicovolle verwerkingen (art. 33) • Voorafgaande raadpleging en toestemming CBP indien PIA dat indiceert (art. 34) NB: niet te verwarren met de meldplicht datalekken
Verplichtingen verantwoordelijke Aanvullende verplichtingen: • Accountability verplichting: verantwoordelijke moet te allen tijde via beleidsregels en genomen maatregelen conformiteit met de verordening kunnen aantonen (art. 22) • Vaststellen voor procedures voor voldoen aan informatieplicht en uitoefenen rechten betrokkenen (art. 12(1)) • Samenwerken met toezichthouder (art. 29) • Aanstellen Data Protection Officer (art. 35: ook voor bewerkers) – Overheden – Grote bedrijven (meer dan 250 werknemers) – Activiteiten bevatten regelmatige en systematische observatie
Voorbeeld: IT dienstverlener
Verplichtingen verwerkers Selectie: • Uitbreiding bewerkersovereenkomst (art. 26) - verantwoordelijke bijstaan om zijn aan algemene verplichtingen te voldoen - na beëindiging alle resultaten overhandigen en gegevens niet anderszins verwerken - alle informatie ter beschikking stellen aan verantwoordelijke en toezichthouder om te controleren of bewerker aan verplichtingen voldoet. • Verwerken alleen op instructie verantwoordelijke (art. 27) • Documentatieplicht verwerkingen (art. 28) • Medewerkingsplicht toezichthouders (art. 29) • Adequate beveiliging (art. 30)
Privacy by default / design
Artikel 23 Verordening • Privacy by default: verantwoordelijke moet systemen zo inrichten dat per doeleinde alleen die persoonsgegevens worden verwerkt die daarvoor strikt noodzakelijk zijn (dataminimalisatie) • Privacy by design: houd rekening met privacy bij de inrichting / ontwerp van IT-systemen NB: beveiligingseisen (art. 30) zijn uitgebreid met voorafgaande evaluatie van risico’s (lid 2).
Datalekken (artt. 31 en 32)
Meldplicht datalekken • Meldplicht datalekken aan CBP (art. 31) – zonder onnodige vertraging en zo mogelijk binnen 24 uur na bekend worden (tenzij motivering) • Meldplicht aan betrokkenen (art. 32) – zonder onnodige vertraging na melding toezichthouder – als inbreuk waarschijnlijk negatieve gevolgen heeft – tenzij passende technische beschermingsmaatregelen die de persoonsgegevens onbegrijpelijk maken voor derden (encryptie) • CBP kan verantwoordelijke alsnog verplichten om te melden aan betrokkenen
Inhoud en wijze melden • In beide gevallen moet worden gemeld – Aard van de inbreuk – Categorieën en aantal betrokkenen – Categorieën en aantal data – Naam en contactgegevens van de functionaris gegevensbescherming of andere contactpersoon – Aanbevolen maatregelen om de negatieve gevolgen te verminderen • Aan CBP : consequenties, genomen acties • Europese Commissie kan modellen en formulieren opstellen
Overige verplichtingen • Administratie bijhouden van alle datalekken, dus ook die niet aan CBP zijn gemeld – Feiten omtrent inbreuk – Gevolgen van de inbreuk – Corrigerende maatregelen • De bewerker moet een datalek onmiddellijk melden bij de verantwoordelijke en verantwoordelijke actief bijstaan
Rechten van betrokkenen Vergelijkbare rechten betrokkenen, maar aanvullend: • Recht om vergeten te worden (art. 17) • Recht om gegevens over te dragen (art. 18) • Maatregelen op basis van profilering (art. 20)
The right to be forgotten
How to forget? • Digital abstinence (gedragsverandering) • Door middel van de techniek > Privacy by design > meta-data > expiry dates • Wettelijke verankering (nu: Wbp | straks: Verordening)
Artikel 17 Verordening Recht van betrokkene ten opzichte van de verantwoordelijke Lid 1: wissen van gegevens en achterwege laten verdere verspreiding (door verantwoordelijke) Lid 2: wissen van gegevens door derden (nieuw!)
Digital Footprint vs. Digital Shadow
Free speech vs. Right to be forgotten
Dataportabiliteit • Verordening Gegevensbescherming (artikel 18): recht van gegevensoverdraagbaarheid - recht op een kopie van de gegevens, en - het recht om deze gegevens over te dragen naar een andere dienstverlener Voorwaarde: de gegevens moeten zijn opgeslagen in een gestructureerd en algemeen gebruikt formaat • Boete niet-naleving: max 1% jaarlijkse wereldwijde omzet • Het formaat, de technische normen, modaliteiten en procedures voor de overdracht kunnen nader worden bepaald door de Commissie
International Data Transfers
Doorgifte derde landen • Nog steeds gebaseerd op “adequacy”, maar meer flexibiliteit • Adequacy beslissing mag ook territoir, organisatie of branche betreffen • Passende garanties, indien geen ‘passend beschermingsniveau’: - BCR als een geldige grondslag voor doorgifte binnen concern - Gebruik EC modelcontract vergt niet langer autorisatie - Nationale toezichthouder kan eigen model contract opstellen - Bedrijven kunnen zelf contract opstellen, vergt autorisatie toezichthouder • Uitzonderingen > nieuwe grondslag: gerechtvaardigd belang (art. 44(1)(h)): - Beoordeling van de omstandigheden en passende garanties voor bescherming - Niet als doorgifte frequent of massaal is - Doorgifte documenteren en toezichthouder informeren
US Patriot Act?
What would you decide?
Contact information Eva N.M. Visser IT Lawyer
[email protected] +31 20 5200 878 Leidsegracht 78 | 1016 CR Amsterdam | www.projectmoore.com
