Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht
1
De Wet bescherming persoonsgegevens in vogelvlucht
2
1. Is sprake van persoonsgegevens? •
Ruim begrip: gegevens die direct of indirect zijn te herleiden tot een natuurlijk persoon
•
3
Geanonimiseerde en gepseudonimiseerde gegevens?
2. Is sprake van BIJZONDERE persoonsgegevens? •
Gevoelige informatie over bijv. godsdienst, ras, gezondheid, strafrechtelijke persoonsgegevens
•
Zwaarder regime: verwerking verboden, tenzij Wbp verwerking expliciet toestaat
•
4
Foto’s
3. Verwerkt u persoonsgegevens? •
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens
•
Verzamelen, vastleggen, bewaren, gebruiken, verstrekken, wissen, vernietigen, anonimiseren, …
•
Toepassingsbereik Wbp: vestiging van een verantwoordelijke in Nederland of vestiging buiten EU en verwerking met behulp van middelen in Nederland
5
4. Bent u verantwoordelijke of bewerker? •
Verantwoordelijke = degene die het doel en de middelen van verwerking vaststelt
•
Bewerker = degene die ten behoeve van de
verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te staan (externe salarisadministrateur, ICT-dienstverlener)
6
5. Doeleinden van de verwerking
7
•
Welbepaald
•
Uitdrukkelijk omschreven (vóórdat u begint met verzamelen)
•
Gerechtvaardigd
•
Verwerking noodzakelijk voor het doel?
•
Verwerking niet onverenigbaar met het doel
6. Verwerkingsgrondslagen •
Ondubbelzinnige toestemming
•
Noodzakelijk voor de uitvoering van een overeenkomst
•
Nakoming wettelijke verplichting
•
Vrijwaring vitaal belang betrokkene
•
Goede vervulling publiekrechtelijke taak
•
Noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke, tenzij belangen betrokkene prevaleren (belangenafweging)
8
7. Plichten verantwoordelijke a. Zorgvuldige verwerking b. Beveiliging c. Bewerkersovereenkomst d. Informatieplicht e. Meldingsplicht f. Inzage geven g. Corrigeren
9
7a. Zorgvuldige verwerking
10
•
Niet bovenmatig
•
Toereikend
•
Ter zake dienend (noodzakelijk voor het doel)
•
Juiste en nauwkeurige gegevens
•
Bewaartermijn
7b. Beveiliging •
Passende technische en organisatorische maatregelen om verlies van gegevens of onrechtmatige verwerking tegen te gaan
•
Afhankelijk van risico’s van verwerking, aard van de gegevens, stand van de techniek en kosten van de maatregelen
11
7c. Bewerkersovereenkomst •
Verwerking uitsluitend in opdracht van verantwoordelijke
•
Nakoming beveiligingsverplichtingen door bewerker
•
Toezien op naleving
•
Bewerker is zelfstandig aansprakelijk voor schade die het gevolg is van de bewerkingshandelingen
•
12
Geheimhouding
7d. Informatieplicht •
Verantwoordelijke, verwerkingsdoeleinden en alles wat nodig is om behoorlijke en zorgvuldige verwerking te waarborgen
•
In beginsel vóór de verkrijging
•
Zodanig dat de betrokkene er daadwerkelijk de beschikking over krijgt (privacystatement)
13
7e. Meldingsplicht •
Bij het College Bescherming Persoonsgegevens of bij de door u of uw brancheorganisatie benoemde functionaris
14
•
Vóór de verwerking (= vóór verzameling)
•
Uitzonderingen op de meldingsplicht: vrijstellingsbesluit
7f. Inzage geven
15
•
Binnen vier weken
•
Overzicht van de verwerkte gegevens
•
Omschrijving verwerkingsdoeleinden
•
Ontvangers
•
De beschikbare informatie over de herkomst
•
Geen recht op afschriften
7g. Corrigeren •
Binnen vier weken reageren
•
Gronden:
- feitelijk onjuist - onvolledig of niet ter zake dienend voor het doel waarvoor gegevens zijn verwerkt - verwerking in strijd met Wbp of andere wet
•
Verbeteren, aanvullen, verwijderen, afschermen en derden op de hoogte stellen
16
Sancties
17
•
Bestuursdwang
•
Last onder dwangsom
•
Boete
•
Rechterlijk verbod of gebod
•
Schadevergoeding
•
Reputatieschade
Nieuwe Europese Privacy Verordening •
Verplichte Data Protection Officer voor overheidsinstanties en bedrijven > 250 werknemers
18
•
Meldplicht datalek
•
Boetes tot 5% van wereldwijde omzet
•
Inwerkingtreding: 2016/2017 (?)
Privacy in de praktijk
19
Kopietje paspoort •
(Bijzondere) persoonsgegevens: BSN, foto
•
Legitimatie en controle
•
Overnemen gegevens
•
Kopiëren, scannen, opslaan
•
Grondslagen: - nakoming wettelijke verplichting - uitvoering overeenkomst
20
Direct marketing / Spam •
Spam = “ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden” overgebracht d.m.v. “automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten”
•
21
Hoofdregel = Opt-in + Opt-out
Direct marketing / Spam •
Uitzondering: geen Opt-in en wel Opt-out: - Gebruik daartoe bekendgemaakt e-mailadres - Ontvanger buiten EER
- (Klant)relatie (eigen gerelateerde producten/diensten)
•
22
Sanctie: boete ACM tot EUR 450.000,-
“[√] Ik ga akkoord met het ontvangen van e-mails van X BV en partners”
Toestemming?
23
Cookies •
Tracking cookies ( Technische cookies)
•
Duidelijk en volledig informeren
•
Toestemming (vooraf, expliciet, ondubbelzinnig)
•
Opslaan/uitlezen gegevens computer (dus ook: browser fingerprinting)
•
Sanctie: boete ACM tot EUR 450.000,-
•
Wetsvoorstel: geen toestemming voor cookies die geen inbreuk maken op de privacy
24
Dank voor uw aandacht Floor de Roos
[email protected] T: +31 88 30 40 207
25
