De Algemene Verordening Gegevensbescherming

Na ruim 4 jaar onderhandelen is op 27 april 2016 de definitieve versie van de Algemene Verordening Gegevensbescherming gepubliceerd. Deze Verordening zal vanaf 25 mei 2018 onder andere de Nederlandse Wet bescherming persoonsgegevens vervangen. De inwerkingtreding van de Verordening brengt een hoop wijzigingen met zich mee, waarvan er in deze bijdrage een aantal zal worden besproken dat met name voor e-commerce en retail van belang is.

Meer rechten voor betrokkenen

Naast de reeds bestaande rechten op toegang tot gegevens, rectificatie, verwijdering en verzet krijgt de betrokkene op basis van de Verordening aanvullende rechten. Dit betreft onder meer het recht om vergeten te worden, het recht op beperking van een verwerking en het recht op dataportabiliteit. Het recht op dataportabiliteit houdt in dat een betrokkene gegevens in een machine leesbaar formaat kan opvragen of kan verzoeken deze door te zenden aan een andere verantwoordelijke. Een betrokkene zal hiernaast altijd zijn uitdrukkelijke toestemming moeten geven voor data profiling, zoals het profileren van bijvoorbeeld klanten op basis van aankoopgedrag.

Aanvullende regels ten aanzien van minderjarigen

Daarnaast wordt de minimale leeftijd voor een geldige toestemming opgehoogd naar 16 jaar. Voor verwerking van gegevens van minderjarigen onder de 16 is toestemming van de ouders nodig. Een verantwoordelijke zal aan moeten kunnen tonen redelijke inspanningen te hebben geleverd om na te gaan dat toestemming door een ouder is gegeven. Informatie aan een minderjarige over de verwerking van diens gegevens moet in duidelijke, eenvoudige en begrijpelijke taal zijn opgesteld.

Verdwijnen meldplicht verwerkingen / instellen documentatieplicht

Onder de huidige regelgeving moet de verwerking van persoonsgegevens gemeld worden bij de Autoriteit Persoonsgegevens, tenzij hiervoor een vrijstelling bestaat. Deze meldplicht komt te vervallen in de Verordening en wordt vervangen door een gedetailleerde documentatieplicht. Op eerste verzoek van de Autoriteit Persoonsgegevens dient de verantwoordelijke gegevens te kunnen overleggen over onder meer verwerkingsdoelen, categorieën betrokkenen en categorieën persoonsgegevens, ontvangers van persoonsgegevens, bewaartermijnen, beveiligingsmaatregelen en doorgifte van gegevens aan derde landen. De verantwoordelijke is daarnaast verplicht om nakoming van de Verordening aan te kunnen tonen.

Bredere territoriale scope

De huidige regelgeving is beperkt tot (in de basis) verwerkingen in het kader van de vestiging van een voor verwerking verantwoordelijke binnen een EU lidstaat, of als geen vestiging binnen de EU bestaat, die gevallen waarin middelen in de EU worden gebruikt. Onder de Verordening wordt dit sterk uitgebreid. Ook indien slechts gebruik wordt gemaakt van een bewerker in de EU zal de Verordening van toepassing zijn. Indien noch verantwoordelijke, noch bewerker in de EU gevestigd is, is de Verordening ook van toepassing indien de betrokkene (degene op wie de gegevens betrekking heeft) zich in de EU bevindt en sprake is van het aanbieden van goederen of diensten in de EU. De betrokkene hoeft geen EU-ingezetene te zijn.

Tip voor u: houd bestaande verwerkingsactiviteiten tegen het licht en tref voorbereidingen voor de documentatieverplichtingen.

Register now for your free, tailored, daily legal newsfeed service.

De Algemene Verordening Gegevensbescherming

Filed under

Popular articles from this firm

The EU Commission's new pharmaceutical package: amended legal framework for data protection, marketing protection and market exclusivity *

NFTs, virtual goods, and services provided in the metaverse: UK IP Office issues guidance on classification *

Synopse: EU Supply Chain Due Diligence *

Bad Faith: a quick guide *

The Asics swirl: rare finding of indirect confusion *

Related practical resources PRO

Related research hubs