België heeft na wat zwoegen en zweten eindelijk een, laten we zeggen ambitieus wetsontwerp in de Kamer ingediend dat tegelijkertijd een aantal zaken wil doorvoeren:
- Een verdere uitwerking van de Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Hierna “GDPR”)
- De omzetting van de Richtlijn 2016/680 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (hierna “Richtlijn”).
- De omkadering van een aantal gegevensverwerkingen die niet gedekt zijn in de GDPR en de voorziening in een aantal bijzondere bepalingen.
Het zeer omvangrijke wetsontwerp kan onmogelijk in één nieuwsbrief besproken worden. Vandaar dat wij voor u de meeste in het oog springende zaken aangaande de GDPR (en niet de Richtlijn) hierna zullen weergeven.
1) Leeftijdsgrens kinderen
Zoals u ongetwijfeld weet, is de meest besproken rechtsgrond om rechtmatig persoonsgegevens te gaan verwerken de ‘toestemming’. De GDPR voorziet dat een kind rechtmatig zijn toestemming kan geven vanaf de leeftijd van 16 jaar. Is het kind jonger, dan is toestemming van de ouders/voogd vereist. De GDPR laat de lidstaten echter toe om deze leeftijdsgrens te verlagen op voorwaarde dat die leeftijd niet onder 13 jaar ligt. België heeft van deze gelegenheid gebruik gemaakt en in artikel 7 van het wetsontwerp bepaald dat een toestemming gegeven door een kind rechtmatig is vanaf de leeftijd van 13 jaar. Indien de verwerking van persoonsgegevens betrekking heeft op een kind jonger dan 13 jaar, is de toestemming slechts rechtmatig indien deze wordt verleend door de wettelijke vertegenwoordiger van het kind.
Let wel, deze regel geldt natuurlijk enkel in zoverre een toestemming is vereist voor het verwerken van persoonsgegevens. Vaak is dit immers niet het geval!
2) Verwerking van genetische en biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag/gerichtheid
De GDPR legt in haar artikel 9 een verbod op voor het verwerken van bijzondere categorieën van persoonsgegevens, zoals genetische gegevens, biometrische gegevens, gezondheidgegevens, gegevens met betrekking tot iemands seksueel gedrag/gerichtheid. Evenwel voorziet de GDPR ook in een reeks uitzonderingen waarbij een verwerking van deze gegevens wel is toegelaten. Één van deze uitzonderingen betreft het ‘zwaarwegend algemeen belang’. Het wetsontwerp geeft een opsomming van welke verwerkingen onder zwaarwegend algemeen belang kunnen geressorteerd worden. Het betreft onder meer de verwerking die beheerd wordt door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite kinderen”.
Evenzeer voorziet het wetsontwerp in enkele aanvullende maatregelen die een verwerker of verwerkingsverantwoordelijke moet nemen bij het verwerken van genetische, biometrische of gezondheidsgegevens. Het betreft het volgende:
o Opmaak van een lijst van de categorieën van personen die de persoonsgegevens kunnen raadplegen waarbij een beschrijving wordt gegeven van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens;
o Voorgaande lijst dient ter beschikking te worden gehouden van de bevoegde toezichthoudende overheid;
o De verantwoordelijke moet verzekeren dat de aangewezen personen gebonden zijn door een wettelijke/statutaire of contractuele verplichting tot vertrouwelijkheid aangaande de betrokken gegevens
3) Bijhouden van strafrechtelijke veroordelingen en strafbare feiten
Conform artikel 10 van de GDPR mogen persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen enkel verwerkt worden onder toezicht van de overheid of indien de verwerking is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling.
Dit had zo zijn gevolgen in het HR-gebeuren. Gerechtelijke gegevens van een kandidaat-werknemer mochten aldus niet zomaar worden bijgehouden.
De gevallen waarin deze gegevens nu door niet-overheden mogen verwerkt worden, werd uitgewerkt in het wetsontwerp. Het ontwerp stelt dat de verwerking van dergelijke persoonsgegevens mogelijk is:
- Door natuurlijke, dan wel rechtspersonen voorzover dat noodzakelijk is voor het beheer van hun eigen geschillen;
- Door advocaten of andere juridische raadgevers in zoverre de verdediging van de belangen dan de cliënt dit vereist;
- Door andere personen op grond van het zwaarwegend algemeen belang of voor het vervullen van taken van algemeen belang;
- Voorzover dit noodzakelijk is voor wetenschappelijk, historisch of statisch onderzoek of met het oog op archivering
Ook hier vereist het wetsontwerp dat de verwerkingsverantwoordelijke dan wel de verwerker een lijst van categorieën personen die de persoonsgegevens kunnen raadplegen dient op te maken en dit ter beschikking moet houden van de toezichthoudende overheid. Evenzeer stelt het wetsontwerp dat de nodige garanties inzake vertrouwelijkheid van deze categorieën van personen door de verantwoordelijke moet worden geboden.
4) Verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen
Het wetsontwerp geeft een definitie van wat onder journalistieke verwerking van persoonsgegevens moet worden verstaan.
Daarnaast stelt het wetsontwerp in haar artikel 24 dat diverse bepalingen van de GDPR niet van toepassing zijn in geval van verwerking van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.
Resumerend kan gesteld worden dat er voorzien wordt in:
- Afwijkingen op de rechten van de betrokkenen
Het betreft onder meer de voorwaarden voor een geldige toestemming, de regels aangaande de verwerking bijzondere categorieën van persoonsgegevens, de bepalingen aangaande strafrechtelijke veroordelingen, het zogenaamde light regime voorzien in artikel 11.2 GDPR, de artikelen 13-15 GDPR die voorzien in een recht op informatie, inzage en rechtzetting, de artikelen 18-21.1 die voorzien in een recht op beperking en overdraagbaarheid en de kennisgevingsplicht aan ontvangers inzake rectificatie of wissing alsook het recht van bezwaar.
Heel wat rechten van de betrokkene zijn aldus niet van toepassing in geval van verwerking voor hogervermelde doeleinden.
- Afwijkingen op sommige verplichtingen opgelegd door de GDPR
Wanneer door de toepassing ervan een voorgenomen publicatie in het gedrang wordt gebracht of het een controlemaatregel voorafgaandelijk aan de publicatie van een artikel zou uitmaken, zijn volgende bepalingen in geval van verwerking van persoonsgegevens omschreven in dit punt 4, niet van toepassing:
· Terbeschikkingstelling van het verwerkingsregister aan de GBA (artikel 30.4 GDPR)
· Medewerking met de GBA (artikel 31 GDPR)
· Melding van inbreuken aan de GBA (artikel 33 GDPR)
· Voorafgaande raadpleging GBA (artikel 36 GDPR)
Daarnaast kunnen ook de artikelen 44-50 GDPR (internationale doorgifte van gegevens) buiten beschouwing worden gelaten in de mate dat het nodig is om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.
- Afwijkingen op de uitoefening van bevoegdheden door de Gegevensbeschermingsautoriteit
Tenslotte kan ingeval van verwerking voor hogervermelde doeleinden ook artikel 58 (onderzoeksbevoegdheden van de toezichthoudende autoriteit) van de GDPR buiten beschouwing worden gelaten. Het artikel 58 geldt niet wanneer de toepassing ervan aanwijzingen zou verschaffen over de bronnen van informatie of een controlemaatregel voorafgaandelijk aan de publicatie van een artikel zou uitmaken.
5) Verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
Belangrijk hierbij op te merken is dat niet alleen universiteiten of innovatie-gerichte bedrijven hieronder kunnen ressorteren, maar dat ook een gewone KMO kan vallen onder de bepalingen die van toepassing zijn op de verwerking voor statistische doeleinden.
Bv. Denk maar aan een bedrijf dat een groep consumenten of klanten uitnodigt om te peilen of een nieuw ontwikkelde verpakking gebruiksvriendelijker is dan de huidige verpakking.
Het wetsontwerp voorziet in een uitzonderingsregime ten aanzien van de rechten van betrokkenen in geval van verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden voorzover deze rechten voornoemde doeleinden van verwerking onmogelijk dreigen te maken of ernstig dreigen te belemmeren en afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
Daarnaast voorziet het wetsontwerp dat er in geval van verwerking voor wetenschappelijk of historisch onderzoek of statistische doeleinden bijkomende verplichtingen moeten worden nageleefd:
- Bijkomende informatie te voorzien in het verwerkingsregister
- Bijkomende informatie die moet meegedeeld worden aan de betrokkene
- Wanneer de persoonsgegevens niet van de betrokkene zelf zijn verkregen dient de verwerkingsverantwoordelijke een overeenkomst (met daarin een aantal verplichte vermeldingen) af te sluiten met de verantwoordelijke voor de oorspronkelijke verwerking.
- Verplichte anonimisering of pseudonimisering na verzameling van gegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Bovendien dient de oorspronkelijke verantwoordelijk steeds voorafgaandelijk te anonimiseren of pseudonimiseren indien hij de gegevens dient/wenst door te geven aan een tweede verantwoordelijke
Voor het overige voorziet het wetsontwerp nog in de aan te wenden rechtsmiddelen alsook in diverse strafsancties. Deze worden besproken in een afzonderlijke nieuwsbrief.
