E-commerce
FAQ
Dataportabiliteit is een nieuw en vooruitstrevend recht opgenomen in de GDPR.
Het betreft het recht van de persoon wiens gegevens verwerkt worden, om zijn gegevens op te vragen. Dit in een gestructureerde, gangbare en machine leesbare vorm. Het doel is de persoonlijke gegevens over te dragen aan een andere onderneming. De persoon kan zelfs verzoeken dat de gegevens rechtstreeks worden doorgezonden naar een andere onderneming. Zo wordt het gemakkelijker om over te stappen van de ene dienstverlener naar de andere.
“The right to be forgotten” is een recht dat in de huidige privacywetgeving terug te vinden is, ingevolge het Google/Spain arrest van het Europees Hof van Justitie.
Onder de GDPR wordt dit recht verder uitgewerkt en geformaliseerd. In een aantal gevallen hebben personen het recht om vergeten te worden. Uw onderneming wordt verplicht om deze gegevens binnen 1 maand te wissen.
Bij inbreuken op de beveiliging of datalekken (databreach) is uw onderneming verplicht dit binnen de 72 uur te melden aan de Privacy Commissie.
Databreach wordt ruim geïnterpreteerd. Dit kan gaan over het verlies van een USB stick met klantenbestanden, maar evengoed over het hacken van uw computersysteem.
Wanneer de databreach grote risico’s inhoudt voor de rechten en vrijheden van betrokken, moeten ook de betrokken personen worden ingelicht.
Verwerkt uw onderneming met de regelmaat van de klok persoonsgegevens? Dan stelt u een Data Protection Officer aan!
Een DPO kan zowel een eigen medewerker zijn of een externe persoon met wie uw onderneming een overeenkomst afsluit. Als privacy adviseur moet hij ervoor zorgen dat uw onderneming niet in de gevarenzone komt.
Twee termen zijn hierbij belangrijk : Privacy by Design & Privacy by Default
De bescherming van de privacy begint reeds bij de ontwikkeling van nieuwe producten en diensten. Het uitgangspunt in de ontwikkelingsfase is de minimale verwerking van persoonsgegevens (Privacy by Design).
Daarnaast moet voorzien worden dat de standaardinstellingen van nieuwe producten of diensten privacy compliant zijn. Dit door een hoog beveiligingsniveau te voorzien. Enkel de gebruiker kan zijn beveiligingsniveau doen dalen (Privacy by Default).
Uw onderneming moet verplichte verwerkingsovereenkomsten afsluiten met de ondernemingen die de persoonsgegevens voor u verwerken.
Dergelijke akkoorden zullen sneller van toepassing zijn dan gedacht. Bijvoorbeeld bij gegevensopslag in een Cloud, bij gebruik van een digitaal platform, bij de hosting van uw website, bij gebruik van HR-gegevens,…
Dit is een nieuw aspect van de privacywetgeving . De vroegere privacywetgeving voorzag niet in een verwerkingsregister.
Het verplichte verwerkingsregister bestaat uit een overzicht van alle datastromen, verwerkingsprocessen en beveiligingen van de persoonsgegevens binnen uw onderneming.
Het register houdt een overzicht in van de
- Verwerkte gegevens;
- Verwerkingsprocessen;
- Gegevensbeveiliging;
- Doorgeven van gegevens;
Het verwerkingsregister is een cruciaal onderdeel van de GDPR. Het is van belang dat het altijd een correct en volledig overzicht weergeeft.
Het register laat de Privacy Commissie toe om gerichte controles uit te voeren. Het register zal u ook omgekeerd toelaten het bewijs te leveren dat u de reglementering inzake privacy respecteert. Niet alleen tegenover de Privacy Commissie maar ook tegenover uw klanten, leveranciers,…
Een hoge transparantie vormt de basis van de GDPR. De doelstelling is natuurlijke personen controle te geven over de gegevens die worden verzameld, bijgehouden en verwerkt.
Dit uit zich in een Privacy Policy die opgesteld moet zijn in duidelijke taal. Op basis van deze verplichte Privacy Policy dient ieder natuurlijk persoon ingelicht te worden over zijn rechten in verband met de verwerking, de uitoefening, de handhaving en de bescherming van zijn gegevens.