NL

GDPR 2.0 EN DE GEVOLGEN VOOR DE ONDERNEMING - DEEL 2

Maarten Verhaghe

Maarten Verhaghe | 28-09-2019

In de eerste sessie stonden wij stil bij de invloed van deze Belgische Privacywet op
•    Het territoriale toepassingsgebied;
•    De leeftijd vanaf wanneer een minderjarige toestemming kan geven;
•    De bijkomende maatregelen bij het verwerken van bijzondere categorieën van persoonsgegevens;
•    De bijkomende maatregelen bij de verwerking van strafrechtelijke veroordelingen en strafrechtelijke feiten.

Vandaag laten we, ter vervollediging, in de tweede sessie volgende punten aan bod komen:
•    Verplichte aanstelling van een DPO;
•    Een nieuwe gegevensverwerkingsovereenkomst voor gegevens onrechtstreeks bekomen via derden;
•    Vordering tot staking van een verwerking die een inbreuk inhoudt op de privacywetgeving;
•    De vertegenwoordiging van betrokkenen door belangengroepen;
•    De voorziene strafrechtelijke sancties.

Verplichte aanstelling van een DPO

De GDPR legt een verplichte aanstelling van een DPO voor overheden op. Door de bepalingen in de nieuwe wet dient ook een DPO aangesteld te worden door ondernemingen die optreden als verwerker voor de federale overheid of door ondernemingen aan wie de federale overheid persoonsgegevens doorgeeft.
Deze bijkomende verplichting dient wel genuanceerd te worden, gezien deze aanstelling enkel verplicht is wanneer de verwerking of doorgifte een hoog risico zou inhouden voor de rechten en vrijheden van betrokkenen in geval van een datalek.
Belangrijk is dat deze verplichting enkel van toepassing wanneer een onderneming te maken heeft met de federale overheid en niet met regionale of lagere overheden.
   
Een nieuwe gegevensverwerkingsovereenkomst voor gegevens onrechtstreeks bekomen via derden

Ondernemingen die persoonsgegevens verwerken in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden met oog op archivering kunnen op verschillende manieren deze gegevens verzamelen, nl.  op een rechtstreekse of onrechtstreekse manier.
Men verkrijgt hierbij de gegevens rechtstreeks van de betrokken of onrechtstreeks via derden. De manier waarop deze gegevens verkregen worden brengt in de GDPR verschillende gevolgen met zich mee:

  • Bij een directe verzameling dient de onderneming zich uiteraard te houden aan de principes van de GDPR zoals transparantie, gegevensminimalisatie, … ten aanzien van de betrokkenen;
  • Bij een onrechtstreekse verzameling moet de onderneming na ontvangst van de gegevens de betrokkene inlichten van de verwerking en van wie ze deze gegevens verkregen heeft.

De nieuwe Belgische wet legt nog een bijkomende verplichting op aan de onderneming wanneer zij de gegevens op een onrechtstreekse manier via derden verkrijgt.
Er wordt namelijk opgelegd dat de verkrijgende onderneming (verwerkingsverantwoordelijke voor de verdere verwerking) een overeenkomst afsluit met de overdragende onderneming (verwerkingsverantwoordelijke van de oorspronkelijke verwerking), behoudens enkele uitzonderingen.
Deze overeenkomst dient te worden toegevoegd aan het gegevensverwerkingsregister.

Stakingsvordering

Een vordering tot staking kan door de betrokkene of Gegevensbeschermingsautoriteit worden ingesteld in kort geding, voor de Voorzitter van de Rechtbank van Eerste Aanleg. In deze procedure kan de rechtbank het bestaan van een verwerking vaststellen die een inbreuk inhoudt op de privacywetgeving en deze stopzetten aan de hand van dwangmaatregelen (vb dwangsom, publicatie van samenvatting van het de veroordeling in de pers ).

Vertegenwoordiging van de betrokkene door belangengroepen

De GDPR voorzag reeds dat organisaties een vertegenwoordigingsbevoegdheid voor betrokkenen konden hebben, maar liet de concrete invulling over aan de lidstaten.
In België is dit nu mogelijk wanneer de organisatie is opgericht conform de Belgische wetgeving, rechtspersoonlijkheid bezit, het openbaar belang in de statuten heeft opgenomen, sedert 3 jaar actief is op het gebied van bescherming van persoonsgegevens en dit kan aantonen aan de hand van activiteitenverslagen of andere documenten.

Bijkomende graad van sanctionering – strafrechterlijke vervolging

De nieuwe Belgische privacywet neemt de sancties van de GDPR over, maar voegt nog een bijkomende graad van sanctionering toe. Een overtreding van de privacywetgeving kan van heden ook een misdrijf inhouden, welke strafrechtelijke vervolging tot gevolg kan hebben.

Besluit

Deze wet voorziet in een strengere toepassing van de EU-privacyregelgeving.
Bijkomende verplichtingen worden opgelegd, welke verschillend kunnen zijn van andere EU-landen.
Hierdoor zullen bedrijven die internationaal, meer bepaald in verschillende EU-landen, actief zijn, zich opnieuw moeten laten bijstaan en adviseren om opnieuw de nationale privacywetgeving te implementeren en toe te passen.

Download onze White Paper GDPR

Check of uw onderneming klaar is voor GDPR. Download nu onze whitepaper!

White Paper GDPR

*De informatie die je ingeeft, zal enkel gebruikt worden voor onze eigen communicatie en blijft confidentieel. Jouw informatie wordt doorgestuurd door middel van een geëncrypteerde verbinding naar ons interne systeem en zal niet verspreid worden naar derden. Lees hier onze volledige privacy policy.

Follow us: