Naar de inhoud

Europese privacytoezichthouders publiceren richtlijnen Europese algemene verordening gegevensbescherming

De Autoriteit Persoonsgegevens (AP) heeft samen met de andere Europese privacytoezichthouders een aantal begrippen uit de algemene verordening gegevensbescherming verduidelijkt. Hiermee bieden de toezichthouders meer duidelijkheid aan organisaties die zich moeten voorbereiden op deze Europese privacywet die per 25 mei 2018 van toepassing is.

Vanaf 25 mei 2018 is de algemene richtlijn gegevensbescherming, (EU) 2016/679 in alle EU-landen van toepassing. De verordening vervangt de nationale wetten op het gebied van privacybescherming. De Wet bescherming persoonsgegevens (Wbp) komt hiermee te vervallen. Er is vanaf dan dus nog maar één privacywet in de hele EU.

De nieuwe wet zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers, meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken en steviger bevoegdheden voor alle Europese privacytoezichthouders. De privacytoezichthouders hebben richtlijnen en FAQ’s opgesteld over het aanstellen en de rol van een Functionaris Gegevensbescherming (FG), het recht op dataportabiliteit en het systeem van één leidende toezichthouder.

Functionaris Gegevensbescherming

Onder de nieuwe privacywet wordt het in sommige situaties verplicht om binnen een organisatie een Functionaris Gegevensbescherming aan te stellen. De richtlijnen geven aan in welke gevallen dit moet en wat de rol van de FG is. De richtlijnen gaan in op het aannemen van een FG, de functie van de FG en zijn taken.

Recht op dataportabiliteit

De nieuwe privacywet geeft betrokkenen (degenen van wie persoonsgegevens worden verwerkt) een nieuw recht: het recht op dataportabiliteit. Dit is het recht van betrokkenen om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Vervolgens kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie. De persoonsgegevens moeten worden overgedragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken. In de richtlijnen wordt meer duidelijkheid gegeven over welke persoonsgegevens organisaties moeten verstrekken en hoe zij dit moeten doen.

Leidende toezichthouder

Onder de nieuwe privacywet wordt een systeem ingevoerd om te bepalen welke Europese privacytoezichthouder de aangewezen instantie is om op te treden als er een overtreding is die effect heeft in meerdere Europese landen. De hoofdregel is dat de  toezichthouder van de Lidstaat waar de hoofdvestiging van de verantwoordelijke (voor de verwerking persoonsgegevens) is gevestigd, de leiding neemt. Deze autoriteit wordt dan de leidende toezichthouder en stemt zijn optreden af met toezichthouders in de andere Europese landen waar de overtreding effect heeft.

Dit zal betekenen dat in bepaalde situaties de Autoriteit Persoonsgegevens niet direct zelf zal optreden, maar moet samenwerken met andere toezichthouders om te komen tot een gezamenlijke aanpak. Dit leidt tot een geharmoniseerde uitleg in interpretatie van de normen. Voor verantwoordelijken is het een voordeel dat zij in de EU nog maar met één toezichthouder te maken hebben in plaats van één per land. De richtlijnen gaan in op dit systeem en helpen organisaties om te bepalen wie in hun geval de leidende toezichthouder is.

Feedback richtlijnen

De privacytoezichthouders hebben de richtlijnen opgesteld met input van verschillende stakeholders. De komende maand kunnen ook anderen feedback geven op de documenten. De toezichthouders kunnen de richtlijnen waar nodig aanvullen en verrijken om deze zo praktisch mogelijk te laten zijn. Reacties kunnen tot en met 31 januari 2017 in het Engels worden gemaild naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr.

Vragen

Nederlandse organisaties kunnen opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of anders via 070 – 8888 500.

Bron: Autoriteit Persoonsgegevens, 16 december 2016

Wetgeving
Jurisprudentie
Officiële publicaties
Europese regelgeving
Soort nieuwsWetgeving
Publicatiedatum20-12-2016
Nummer2016/0335