De Eerste Kamer heeft de definitieve compromistekst van de aankomende Europese Privacyverordening (General Data Protection Regulation) gepubliceerd. Het doel van deze nieuwe wetgeving is een meer uniforme toepassing van de privacywetgeving binnen de Europese Unie. Hierdoor wordt de burger meer beschermd en wordt het voor bedrijven die zich aan bepaalde voorwaarden houden eenvoudiger persoonsgegevens over de grens te verwerken. In dit artikel worden de vijf meest opmerkelijke onderdelen van de aankomende Europese Privacyverordening besproken.
1. Het recht om vergeten te worden
Op dit moment heeft de verantwoordelijke die persoonsgegevens verwerkt al de plicht deze te verwijderen zodra ze niet meer noodzakelijk zijn. Met inwerkingtreden van de Privacyverordening zal deze verwijderingsplicht worden verzwaard. Indien de persoonsgegevens zijn gepubliceerd, bijvoorbeeld op internet, moet de verantwoordelijke zich volgens de komende regels ook inspannen om derden die de betreffende persoonsgegevens verwerken (bijvoorbeeld zoekmachines of websitebeheerders) te informeren als de betrokkene een verzoek tot verwijdering heeft ingediend.
2. Het recht op dataportabiliteit
De Privacyverordening introduceert een nieuw recht voor betrokkenen: het recht op dataportabiliteit, oftewel het recht op gegevensoverdraagbaarheid. Hierdoor moet het voor betrokkenen eenvoudiger worden om persoonsgegevens op eenvoudige wijze van de ene naar de andere partij over te hevelen. Hierdoor worden bijvoorbeeld consumenten minder afhankelijk van hun aanbieder, omdat overstappen naar een andere aanbieder eenvoudiger gaat worden.
3. Plicht tot dataminimalisatie
In de Privacyverordening wordt nog meer nadruk gelegd op de plicht van bedrijven om de door hun te produceren goederen en/of diensten zodanig in te richten dat er zo weinig mogelijk persoonsgegeven worden verzameld. Deze plicht tot dataminimalisatie is bedoeld om bedrijven te motiveren privacy by design toe te passen, waarbij in het ontwerp van een product al rekening wordt gehouden met het doel zo weinig mogelijk persoonsgegevens te verzamelen.
4. Functionaris Gegevensbescherming
De regels rond het aanstellen van een Functionaris Gegevensbescherming worden aangescherpt. Zo wordt het bij invoering van de Europese Privacyverordening voor bepaalde organisaties, zoals publieke instanties of organisaties die in grote mate persoonsgegevens verwerken verplicht een Functionaris Gegevensbescherming aan te stellen. Het is toegestaan om met meerdere organisaties één Functionaris Gegevensbescherming aan te stellen die onafhankelijk zijn taken voor elke organisatie apart moet kunnen uitoefenen.
5. De Privacy Impact assessment
Als een bedrijf nieuwe producten of diensten wil ontwikkelen die een risico vormen op het recht op een persoonlijke levenssfeer, dient het betreffende bedrijf volgens de Privacyverordening in bepaalde gevallen eerst een Privacy Impact Assessment uit te voeren. Dit is een assessment waarmee het bedrijven de risico’s en de impact van het product of de dienst op de privacyrechten van betrokkenen in kaart kunnen brengen.
Conclusie
De aankomende Europese Privacyverordening komt een stap dichterbij, waarbij de definitieve compromistekst al is vastgelegd en gepubliceerd. De Privacyverordening zal de regels voor personen en bedrijven op het gebied van privacy in Europa verder uniformiseren, hetgeen ten goede komt aan de rechtszekerheid van alle betrokkenen en bedrijven. Indien u vragen heeft over de komende Europese Privacyverordening en de gevolgen van inwerkingtreding van de Europese Privacyverordening voor uw organisatie, kunt u contact opnemen met JPR Advocaten.
Yaşar Bayram
Eva Lammers
Joke Schraagen