“bescherming persoonsgegevens” in Europa en België/Vlaanderen…

HetnieuweEuropeseraamwerk
“beschermingpersoonsgegevens”in
EuropaenBelgië/Vlaanderen…
WillemDebeuckelaere
DePrivacyproef–
deJuristen
Gent
1juni2017
Inhoud
1.Watvoorafgaat?
2.Huidigestandvanzaken
3.Nieuwewetgeving
4.KomendrechtinBelgië
5.Nieuwerichtsnoeren
6.5mei2018/25mei2018
7.?
2
1.Watvoorafgaat?
3
1.Watvoorafgaat?
1890
Warren & Brandeis
"The right to Privacy
4
1.Watvoorafgaat?
WO II
Fascisme & Communisme
Universele verklaring van de rechten van de mens : 1948
EVRM : 4 november 1950
(wet van 13 mei 1955 houdende goedkeuring…)
5
1.Watvoorafgaat?
Artikel 8 :
Recht op eerbiediging van privé-, familie- en gezinsleven
1. Eenieder heeft het recht op eerbiediging van zijn privéleven,
zijn gezinsleven, zijn huis en zijn briefwisseling.
2. Geen inmenging van enig openbaar gezag is toegestaan met
betrekking tot de uitoefening van dit recht dan voor zover bij de
wet is voorzien en in een democratische samenleving nodig is in
het belang van 's lands veiligheid, openbare veiligheid of het
economisch welzijn van het land, de bescherming van de openbare
orde en het voorkomen van strafbare feiten, de bescherming van
de gezondheid of de goede zeden of voor de bescherming van de
rechten en vrijheden van anderen.
6
1.Watvoorafgaat?
7
1.Watvoorafgaat?
1976: resolutie van het Europees Parlement
1979: rapport-Bayerl
----------
1980 : OESO Recommendation on protection of privacy
8
1.Watvoorafgaat?
Raad van Europa
Verdrag (Conventie) 108 van 28 januari 1981
Basisbeginselen Verdrag 108
art. 5 : het finaliteitsbeginsel
art. 6 : gevoelige gegevens
art. 7 : aangepaste veiligheidsmaatregelen
art. 8 : basisrechten van de burger
art. 9 : uitzonderingen : cfr. art. 8 E.V.R.M.
art. 12 : grensoverschrijdend verkeer
9
1.Watvoorafgaat?
Europese Unie
Richtlijn (Directive) 1995/46 :
Bescherming verwerking persoonsgegevens
-----------Richtlijn 2002/58 : elektronische communicatie
ePrivacy
10
2. Huidige stand van zaken
Art. 8 Handvest (12 dec 2007)
Debeschermingvanpersoonsgegevens
1. Eeniederheeftrechtopbeschermingvanzijnpersoonsgegevens.
2. Dezegegevensmoeteneerlijk wordenverwerkt,voorbepaalde
doeleinden enmettoestemmingvandebetrokkene ofopbasisvaneen
anderegerechtvaardigdegrondslag waarindewetvoorziet.
Eeniederheeftrechtvaninzage indeoverhemverzameldegegevensen
oprectificatie daarvan.
3. Eenonafhankelijkeautoriteit zieteroptoedatdezeregelsworden
nageleefd.
11
2. Huidige stand van zaken
Schengen 1990
Kruispuntenbank Sociale Zekerheid
12
2. Huidige stand van zaken
Wet van 8 december 1992
"Wet tot bescherming van de persoonlijke levenssfeer ten
opzichte van de verwerking van persoonsgegevens"
WVP
Privacywet
13
2. Huidige stand van zaken
Privacybescherming naast WVP
Ø Specifieke wetgeving voor de Sectorale comités:
Rijksregister, eID, Statistiek.
Ø CAO's (algemeen, sectoraal, bedrijf)
Ø Consumentenkrediet, patiëntenrechten, strafrecht
en strafvordering
14
3. Nieuwe wetgeving: GDPR
15
3. Nieuwe wetgeving: GDPR
16
3. Nieuwe wetgeving: politie & justitie
17
3. Nieuwe wetgeving: e-privacy
18
3. Nieuwe wetgeving: EU
19
3. Nieuwe wetgeving: GDPR
20
3. Nieuwe wetgeving: GDPR
21
3. Nieuwe wetgeving: GDPR
HoofdstukII:Beginselen
Artikel5:Beginseleninzakeverwerking
2.
Deverwerkingsverantwoordelijkeis
verantwoordelijkvoordenalevingvanlid1enkan
dezeaantonen("verantwoordingsplicht").
22
3. Nieuwe wetgeving: GDPR
23
3. Nieuwe wetgeving: GDPR
24
3. Nieuwe wetgeving: GDPR
Hoofdstuk IV : Verwerkingsverantwoordelijk en verwerken
Afdeling 1 : Algemene verplichtingen
Verantwoordelijkheid vande
verwerkingsverantwoordelijke
25
3. Nieuwe wetgeving: GDPR
1.Rekeninghoudendmetdeaard,de
omvang,decontextenhetdoelvande
verwerking,
alsookmetdequawaarschijnlijkheiden
ernstuiteenlopenderisico'svoorde
rechtenenvrijhedenvannatuurlijke
personen,
treftdeverwerkingsverantwoordelijke
passendetechnischeenorganisatorische
maatregelenomtewaarborgenente
kunnenaantonendatdeverwerkingin
overeenstemmingmetdezeverordening
wordtuitgevoerd.
26
3. Nieuwe wetgeving: GDPR
No“one-size-fits-all”approach
27
3. Nieuwe wetgeving
Designationofa
representative*
Privacybydesign
andbydefault
DPImpact
Assessment/Prior
consultation
Dataprotection
Officer*
Securityanddata
breach
notification*
Recordof
processing*
Processor*
28
3. Nieuwe wetgeving : privacy by design / by
default
Artikel25:
Gegevensbeschermingdoorontwerp endoor
standaardinstellingen
by design
by default
29
3. Nieuwe wetgeving : ontwerp / design
1. Rekening houdend met de stand van de techniek, de
uitvoeringskosten, en de aard, de omvang, de context en het
doel van de verwerking alsook met de qua waarschijnlijkheid en
ernst uiteenlopende risico's voor de rechten en vrijheden van
natuurlijke personen welke aan de verwerking zijn verbonden,
treft de verwerkingsverantwoordelijke, zowel bij de bepaling van
de verwerkingsmiddelen als bij de verwerking zelf, passende
technische
en
organisatorische
maatregelen,
zoals
pseudonimisering, die zijn opgesteld met als doel de
gegevensbeschermingsbeginselen,
zoals
minimale
gegevensverwerking, op een doeltreffende manier uit te voeren
en de nodige waarborgen in de verwerking in te bouwen ter
naleving van de voorschriften van deze verordening en ter
bescherming van de rechten van de betrokkenen.
30
3. Nieuwe wetgeving : standaard / default
2.
De verwerkingsverantwoordelijke treft passende
technische en organisatorische maatregelen om ervoor te
zorgen dat in beginsel alleen persoonsgegevens worden
verwerkt die noodzakelijk zijn voor elk specifiek doel van
de verwerking. Die verplichting geldt voor de hoeveelheid
verzamelde persoonsgegevens, de mate waarin zij worden
verwerkt, de periode waarin zij worden opgeslagen en de
toegankelijkheid daarvan. Deze maatregelen zorgen met
name ervoor dat persoonsgegevens in beginsel niet zonder
menselijke tussenkomst voor een onbeperkt aantal
natuurlijke personen toegankelijk worden gemaakt.
31
3. Nieuwe wetgeving
• Hervorming van
deCommissie
voor de
bescherming van
depersoonlijke
levenssfeer
Ja
…
maarnee
• Lijst vande
verwerkingen
voorgelegd aan
DPIA(art.35)
Verplichte
nationale
Toegestane
uitvoeringsmaatregelen
uitvoeringsmaatregelen
Verplicht aan
tenemen
maatregelen
door deDPA
Uitoefening
vanzijn
opdrachten
doordeDPA
nationale
• Van
sensibilisering
tot bestraffing
32
4.KomendrechtinBelgië
NieuweWVP?
Organiekewet
AutoriteitPersoonsgegevens
33
4.KomendrechtinBelgië
Kaderwetimplementatieverordening679/2016
(vakgebieden,rijksregister,veiligheidvandestaat,…)
(HoofdstukIXGDPR)
34
4.KomendrechtinBelgië
Sectoralecomités
NotaMinisterraad31maart2017
35
4.KomendrechtinBelgië
Regio’s
(Decreten/ordonnantie)
(Samenwerkingsakkoord)
(InterparlementaireDPA)
36
5.NieuwerichtsnoerenWP29
19December2016:
(WP29– 12/13December2016)
Ø DPO
Ø LEADDPA
Ø Portability
Working Party29- 4&5April2017
Ø DPIA(openconsultation)
37
5.NieuwerichtsnoerenCBPL
Ø 19December2016:
Ø DPIA
Ø 24mei2017:
Ø DPO (Belgischesituatie)
Ø 14juni2017:
Ø het“REGISTER”
38
5.Nieuwerichtsnoeren
BegeleidingVVenV
DataProtectionImpact
Assessment (DPIA)
Certificering
Profilering
Toestemming
Transparantie
Instrumenten
internationaledoorgiftes
Kennisgeving databreach
« Intern – DPA »
EDPB(European Data
protectionBoard)
OneStopshop/uniek loket
Consistency mechanism
39
6.5mei2018/25mei2018
5mei2018
Wetomzettingrichtlijn680/2016Politie&Justitie
(Wetoppolitieambt)
40
6.5mei2018/25mei2018
25mei2018
Verordening279/2016vantoepassing
41
7.?
?
42
7.?
“legitimate interestofgerechtvaardigdbelang”
“grondslag voor verwerking van persoonsgegevens : de
nieuw snelweg ?”
43
7.?
44
7.?
45
7.?
46
7.?
47