De Autoriteit Persoonsgegevens (AP) heeft samen met de andere Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (WP29), een aantal begrippen uit de algemene verordening gegevensbescherming verduidelijkt. Hiermee bieden de toezichthouders meer duidelijkheid aan organisaties die zich moeten voorbereiden op deze Europese privacywet die per 25 mei 2018 van toepassing is.
Er geldt vanaf mei 2018 nog maar één privacywet in de hele EU (1), in plaats van 28 verschillende nationale wetten. De nieuwe wet zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers, meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken en steviger bevoegdheden voor alle Europese privacytoezichthouders. De privacytoezichthouders hebben richtlijnen en FAQ’s opgesteld over het aanstellen en de rol van een Functionaris Gegevensbescherming (FG), het recht op dataportabiliteit en het systeem van één leidende toezichthouder.
Functionaris Gegevensbescherming
Onder de nieuwe privacywet wordt het in sommige situaties verplicht een Functionaris Gegevensbescherming aan te stellen. De richtlijnen geven aan in welke gevallen dit moet en wat de rol van de FG is. De richtlijnen gaan in op het aannemen van een FG, de functie van de FG en zijn taken. De uitleg en concrete voorbeelden zijn een handzaam hulpmiddel voor organisaties en hun FG’s om zich voor te bereiden op de nieuwe verplichtingen.
Dataportabiliteit
De nieuwe privacywet geeft betrokkenen, degenen van wie persoonsgegevens worden verwerkt, een nieuw recht: het recht op dataportabiliteit. Dit is het recht van betrokkenen om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Vervolgens kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie. De persoonsgegevens moeten worden overgedragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken. In de richtlijnen wordt meer duidelijkheid gegeven over welke persoonsgegevens organisaties moeten verstrekken en hoe zij dit moeten doen.
Leidende toezichthouder
Onder de nieuwe privacywet wordt een systeem ingevoerd om te bepalen welke Europese privacytoezichthouder de aangewezen instantie is om op te treden als er een overtreding is die effect heeft in meerdere Europese landen. De hoofdregel is dat de toezichthouder van de Lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd, de leiding neemt. Deze autoriteit wordt dan de leidende toezichthouder. Hij stemt zijn optreden af met toezichthouders in de andere Europese landen waar de overtreding effect heeft.
Dit zal betekenen dat in bepaalde situaties de Autoriteit Persoonsgegevens niet direct zelf zal optreden, maar moet samenwerken met andere toezichthouders om te komen tot een gezamenlijke aanpak. Dit leidt tot een geharmoniseerde uitleg in interpretatie van de normen. Voor verantwoordelijken is het een voordeel dat zij in de EU nog maar met één toezichthouder te maken hebben in plaats van één per land.
De richtlijnen gaan in op dit systeem en helpen organisaties om te bepalen wie in hun geval de leidende toezichthouder is.
Feedback richtlijnen
De privacytoezichthouders hebben de richtlijnen opgesteld met input van verschillende stakeholders. De komende maand kunnen ook anderen feedback geven op de documenten. De toezichthouders kunnen de richtlijnen waar nodig aanvullen en verrijken om deze zo praktisch mogelijk te laten zijn. Reacties kunnen tot en met 31 januari 2017 in het Engels worden gemaild naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr.
Vragen
Nederlandse organisaties kunnen opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of anders via 070 – 8888 500.
(1) Naast een algemene verordening voor de bescherming van persoonsgegevens is er een aparte EU-richtlijn voor de verwerking van persoonsgegevens door politie en justitie.
