GDPR

Op deze pagina:

    Van preventie naar repressie

    De inwerkingtreding van de GDPR heeft het thema privacy hoog op de agenda geplaatst. De evidente verklaring hiervoor zijn de hoge boetes die kunnen worden opgelegd bij een overtreding van de verordening. Voor de zwaarste overtredingen kan de bevoegde toezichthoudende autoriteit administratieve geldboeten opleggen tot 20 miljoen euro of voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

    Deze hoge boetes passen in een algemene paradigmashift die door de GDPR werd inge- luid van een preventief kader naar een repressief kader. Onder de oude Richtlijn moest iedere (geautomatiseerde) verwerking van persoonsgegevens vooraf gemeld worden bij de toezichthoudende autoriteit. De autoriteit hield hiervan een openbaar verwerkings- register bij. Onder de GDPR werd deze logica omgedraaid: verwerkers van persoons- gegevens houden zelf een verwerkingsregister bij, dat niet openbaar is.

    Ze moeten de rechtmatigheid van de verwerking kunnen verantwoorden, maar er is geen aanmeldingsplicht. Het risico op hoge boetes zou verwerkers ervan moeten weer- houden de verordening te overtreden.
     

    De basisprincipes blijven onveranderd

    De basisprincipes voor een correcte gegevensverwerking die opgenomen zijn in artikel 5 van de GDPR, zijn nog nagenoeg ongewijzigd ten opzichte van deze uit het Verdrag nr. 108 en Richtlijn 95/46/EG. De beginselen uit dit artikel vormen de ruggengraat en kern van de verordening en zullen in deze brochure ook als leidraad dienen:

    Artikel 5

    1. Persoonsgegevens moeten:
      1. worden verwerkt op een wijze die ten aanzien van de betrokkene recht- matig, behoorlijk en transparant is (‘rechtmatigheid, behoorlijkheid en transparantie’);

      2. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelein- den worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (‘doelbinding’);

      3. toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‘minimale gegevensverwerking’);

      4. juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doel- einden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‘juistheid’);

      5. worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgege- vens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor lan- gere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeen- komstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rech- ten en vrijheden van de betrokkene te beschermen (‘opslagbeperking’);

      6. door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoor- loofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernieti- ging of beschadiging (‘integriteit en vertrouwelijkheid’).

    2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‘verantwoordingsplicht’).

    Andere vernieuwingen

    Toch heeft de GDPR nog enkele belangrijke en minder belangrijke vernieuwingen geïntroduceerd:

    • De definitie van toestemming als grond voor een rechtmatige gegevensverwerking werd aangescherpt. Voortaan wordt deze gedefinieerd als ‘elke vrije, specifieke, geïn- formeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling (NIEUW) hem betreffende verwerking van persoonsgegevens aanvaardt’.
    • Er werden twee nieuwe gegevenstypen toegevoegd die een bijzondere bescherming genieten: biometrische en genetische gegevens.
    • Het recht op overdraagbaarheid van gegevens werd geïntroduceerd. Dit houdt het recht in voor iedere betrokkene om de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en die gegevens aan een andere verwerkingsver- antwoordelijke over te dragen.
    • Het recht op een kopie van de verwerkte persoonsgegevens.
    • Het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan rechtsgevolgen zijn verbonden of dat de persoon waarop ze betrekking hebben anderszins in aanmerke- lijke mate treft.
    • De verplichte opmaak van een gegevensbeschermingseffectbeoordeling wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
    • Voor verwerkers die op een zekere schaal aan gegevensverwerking doen of wanneer gevoelige persoonsgegevens worden verwerkte, de verplichte aanstelling van een functionaris voor gegevensbescherming (‘DPO’).
    • Op basis van de GDPR kunnen ook verwerkers, en niet enkel verwerkingsverantwoor- delijken, aansprakelijk gesteld worden voor een foutieve verwerking wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
    • Een verplichte melding van een inbreuk in verband met persoonsgegevens (bv. gege- venslek) bij de toezichthoudende autoriteit binnen de 72 uur, voor zover de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
    • Introductie van de principes gegevensbescherming door ontwerp (‘by design’) en door standaardinstellingen (‘by default’).
       

    Rechtmatigheid, behoorlijkheid en transparantie

    Rechtmatigheid

    Als allereerste voorwaarde moet iedere verwerking een rechtsgrondslag hebben. Deze kan volgens de GDPR gevonden worden in één van volgende oorzaken (art. 6):

    1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoons- gegevens voor een of meer specifieke doeleinden;
    2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
    3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
    4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
    5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
    6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
       

    Voorbeelden

    • De Spaanse gegevensbeschermingsautoriteit (hierna: GBA) beboette een werkgever die een werknemer ontsloeg op basis van videobeelden van deze werknemer die hij op onrechtmatige wijze had bekomen.
    • Dezelfde GBA gaf een boete aan een vakbond die zonder toestemming van de betrokkene persoonlijke gegevens van haar deelde met 400 vakbondsleden.
    • Een Hongaarse werknemer had bij de lokale overheid mistoestanden in zijn bedrijf aangekaart. De werkgever had hier lucht van gekregen en toen hij zich bij diezelfde overheid informeerde, deelde deze aan de werkgever de naam van de klokkenluider mee. Uiteraard had de overheid hiervoor geen rechtmatige aanleiding.
       

    Gevoelige gegevens

    De verwerking van bepaalde bijzondere categorieën van persoonsgegevens (gevoelige gegevens) is in principe verboden:

    Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lid- maatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

    Slechts in een beperkt aantal in de GDPR opgesomde gevallen kan het gebruik van dergelijke gegevens gerechtvaardigd worden.

    Voorbeeld

    De Cypriotische GBA legde een bedrijf een hoge boete op voor het ongerecht- vaardigd gebruik van gezondheidsgegevens van werknemers. Het bedrijf evalu- eerde de duur en frequentie van afwezigheden wegens ziekte aan de hand van de zogenaamde ‘Bradford-factor’. Volgens deze managementtheorie zouden frequente korte afwezigheden de arbeidsorganisatie meer verstoren dan minder frequente langere afwezigheden. Het profileren van werknemers op basis van de duur en frequentie van hun ziektes werd als disproportioneel beschouwd door de bevoegde GBA.
     

    Toestemming in arbeidsrelaties

    Toestemming is geen evidente rechtsgrond in de verhouding werkgever werknemer. De werkgever moet immers kunnen aantonen dat de toestemming volledig vrijwillig was. Dit is niet evident gezien het machtsonevenwicht dat eigen is aan deze verhouding.

    Overweging 43 van de GDPR stelt immers dat:

    (43)

    Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwer- kingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.

    De Groep Gegevensverwerking artikel 29 (vandaag ‘EDPB’, de Europese toezichthouder inzake privacy) drukt het als volgt uit (Advies 2/2017):

    “Werknemers verkeren bijna nooit in een positie waarbij ze vrij zijn hun toestem- ming te verlenen, te weigeren of in te trekken, gezien hun afhankelijkheid als gevolg van de verhouding tussen werkgever en werknemer. Door deze ongelijke machtsverhouding kunnen werknemers enkel in uitzonderlijke omstandigheden, wanneer er geen enkel gevolg aan de aanvaarding of weigering van een aanbod is verbonden, hun toestemming vrij verlenen.”

    Werkgevers zullen dus in bijna alle gevallen een andere rechtsgrond moeten zoe- ken dan toestemming. Enkel wanneer de toestemming wordt gegeven via collectief overleg/cao zijn de machtsverhoudingen in evenwicht en kan de toestemming geldig worden gegeven.
     

    Transparantie

    De verwerking van persoonsgegevens is enkel toegestaan wanneer hierover transparant gecommuniceerd wordt. Een geheime gegevensverzameling is nooit toegestaan.

    De transparantie betreft verschillende facetten van de verwerking. Deze informatie zal veelal zijn opgenomen in een privacyverklaring:

    1. de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
    2. in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
    3. de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
    4. de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
    5. in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
    6. in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie;
    7. de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
    8. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
    9. wanneer de verwerking toestemming is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
    10. dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
    11. of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
    12. het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

    Voorbeeld

    Zowel de Franse als Griekse GBA spraken reeds boetes uit tegen werkgevers die op een geheime of onvoldoende transparante manier camerabewaking installeerden op de werkvloer.
     

    Doelbinding

    Doelbinding is een essentieel bestanddeel van een correcte gegevensverwerking. Een verwerking is pas geldig wanneer het doeleind expliciet wordt vastgesteld en gerechtvaardigd is op het moment dat de persoonsgegevens worden verzameld. De gegevens mogen enkel voor dat doel gebruikt worden. Hergebruik voor andere doeleinden, waarvoor ze niet verzameld werden, is niet toegestaan.

    Voorbeeld

    Een werkgever die een badge-systeem gebruikt als toegangscontrole tot de onderneming, mag de gegevens van het in- en uitbadgen niet gebruiken om de gepresteerde arbeidstijd te controleren.
     

    Minimale gegevensverwerking

    Er mogen maar zoveel gegevens verwerkt worden als strikt noodzakelijk zijn voor het bereiken van het doel van de verwerking.

    Voorbeelden

    • De Roemeense GBA veroordeelde een werkgever die camera’s plaatste in de kleedkamers voor werknemers op basis van de schending van het principe van minimale gegevensverwerking.
    • De Spaanse GBA veroordeelde een werkgever die via camera’s bedoeld tegen diefstal zijn werknemers in het oog hield voor andere doeleinden.

    Juistheid

    Gegevens die verwerkt worden moeten juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die onjuist zijn, onverwijld te wissen of recht te zetten.
     

    Opslagbeperking

    Gegevens mogen maar zolang bewaard worden als nodig voor de doeleinden waarvoor ze worden verzameld. Daarna moeten ze worden gewist.

    Voorbeelden

    • Een Duitse onderneming werd tot een hoge boete veroordeeld voor het onnodig lang bewaren van gegevens die ze had verzameld van kandidaten in het kader van een sollicitatieprocedure.
    • In Hongarije werd een bedrijf beboet voor het niet wissen van persoonlijke e-mails van een ex-werknemer.

    Integriteit en vertrouwelijkheid

    Dit principe houdt in dat de verwerker of verwerkingsverantwoordelijke persoonlijke gegevens op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrecht- matige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De verwerker of verwerkingsverantwoordelijke zal hiervoor de passende technische of organisatorische maatregelen moeten nemen.

    Voorbeelden

    • Een Spaanse werknemer die in een brief aan het hotelmanagement en de vakbondsafvaardiging zijn beklag deed over een geval van intimidatie op de werkvloer, stapte naar de nationale GBA omdat het management en de vak- bondsafvaardiging hun vertrouwelijkheidsplicht schonden door de brief voor te lezen op een vergadering met andere werknemers.
    • Eveneens in Spanje werd een onderneming beboet voor een schending van de vertrouwelijkheid door een loonbrief aan de verkeerde werknemer te bezorgen.
    • Een Nederlandse socialezekerheidsinstantie kreeg een boete opgelegd wegens schending van het integriteit- en vertrouwelijkheidsprincipe omdat ze gevoelige gegevens van werknemers (medische informatie) onvoldoende had beveiligd. Volgens de Nederlandse GBA was voor dermate gevoelige gegevens een multi-factor authenticatie vereist (type ‘Itsme’).
    Kies uw kantoor
    Kies een ACLVB-secretariaat bij u in de buurt voor de beste service ::
    Of zoek uw secretariaat via de kaart