Bescherming van persoonsgegevens: 10 belangrijke ontwikkelingen uit het voorbije kwartaal op een rijtje

De Algemene Verordening Gegevensbescherming ("AVG") blijft zich na de inwerkingtreding op 25 mei 2018 aan een razend tempo verder ontwikkelen. We zetten de belangrijkste ontwikkelingen van het voorbije kwartaal op een rijtje.

Hof van Justitie bevestigt ruime uitlegging van de journalistieke uitzondering

Het recht op bescherming van persoonsgegevens is geen absoluut recht en moet in sommige gevallen worden afgewogen tegen het recht op vrijheid van meningsuiting en informatie. Daarom voorziet de AVG in uitzonderingen op verplichtingen uit de AVG voor de verwerking van persoonsgegevens voor journalistieke doeleinden. In een arrest van 14 februari 2019 besliste het Hof van Justitie dat het plaatsen van een video op YouTube door niet-professionele journalisten een verwerking van persoonsgegevens voor journalistieke doeleinden is op voorwaarde dat het doel van de opname en de publicatie er uitsluitend in bestaat om informatie, meningen of ideeën aan het publiek bekend te maken.

Het ziet ernaar uit dat de Belgische wetgever de draagwijdte van artikel 24 van de Belgische kaderwet, die de journalistieke uitzondering uit de AVG beperkt tot "de verwerkingsverantwoordelijke die zich de naleving van journalistieke deontologische regels tot taak stelt", in het licht van het arrest zal moeten herzien.  

ECG publiceert informatienotas ingeval van een "no-deal brexit"

Over minder dan een maand zou het Verenigd Koninkrijk ("VK") naar verwachting de Europese Unie ("EU") verlaten, mogelijk zonder afspraken over de uittreding. Op 12 februari 2019 heeft het Europees Comité voor Gegevensbescherming ("ECG") twee informatienota's gepubliceerd met verdere toelichting voor bedrijven en organisaties over de juiste naleving van de AVG bij een no-deal brexit.

Bij een no-deal brexit moeten doorgiftes van persoonsgegevens naar het VK, behoudens uitstel, vanaf 30 maart 2019 extra beschermd worden aan de hand van één van de instrumenten waarin hoofdstuk V van de AVG voorziet. We bespreken de bescherming van persoonsgegevens na een (no-deal) brexit in de Eubelius Spotlights maart 2019 en geven een overzicht van de gevolgen van de brexit op financiële dienstverleners in Eubelius Spotlights maart 2019.

Meer informatie vindt u in de informatienota's van het ECG:

ECG brengt een nieuw advies uit over de wisselwerking tussen de Verordening inzake klinische proeven en de AVG

Op 23 januari 2019 bracht het ECG een advies uit over de wisselwerking tussen de Verordening betreffende klinische proeven met geneesmiddelen voor menselijk gebruik en de AVG. Het advies gaat in op de AVG-vereisten met betrekking tot de juridische grondslag voor de verwerking van persoonsgegevens in het kader van een protocol voor klinische proeven (primair gebruik) en het verdere gebruik van klinische proefgegevens voor andere wetenschappelijke doeleinden (secundair gebruik).

U kan het advies hier terugvinden (voorlopig enkel beschikbaar in het Engels).

Adequaatheidsbesluit met betrekking tot Japan

Bedrijven uit de EU en Japan kunnen voortaan gegevens uitwisselen zonder dat zij aanvullende instrumenten zoals standaardcontractbepalingen (artikel 46 AVG) moeten gebruiken. Op 23 januari 2019 heeft de Europese Commissie namelijk in een adequaatheidsbesluit vastgesteld dat het niveau van gegevensbescherming in de EU en Japan gelijkwaardig is. Dit adequaatheidsbesluit (beschikbaar in het Engels) dat van toepassing is sinds 23 januari 2019, is het eerste sinds de inwerkingtreding van de AVG.

Ontwikkelingen op het gebied van het recht om vergeten te worden

Advocaat-generaal (AG) Szpunar heeft op 19 januari 2019 het Hof van Justitie twee belangrijke conclusies voorgelegd over het recht om vergeten te worden (artikel 17 AVG).

In een eerste conclusie (voorlopig enkel beschikbaar in het Frans), verdedigde de AG dat het verbod op de verwerking van gevoelige gegevens van toepassing is op Google, ook al heeft Google niet zelf de gevoelige gegevens geplaatst op de webpagina's waar de koppelingen naartoe leiden. Volgens de AG is Google bovendien verplicht om een verzoek tot verwijdering van koppelingen naar internetpagina's met gevoelige gegevens systematisch in te willigen. Google moet daarbij wel een zorgvuldige afweging maken tussen het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens enerzijds en het recht van het publiek op toegang tot de betrokken informatie en het recht op vrijheid van meningsuiting van de persoon die de informatie heeft verstrekt anderzijds, aldus de AG.

In een tweede conclusie (voorlopig enkel beschikbaar in het Frans) stelde de AG dat zoekopdrachten die worden uitgevoerd buiten het grondgebied van de EU niet in aanmerking komen voor een verwijdering van koppelingen uit de zoekresultaten. Volgens de AG is Google wel verplicht om zoekresultaten te verwijderen die worden weergegeven na een zoekopdracht vanaf een IP-adres van een internetgebruiker die zich in de EU bevindt, ongeacht de domeinnaam die wordt ingevoerd door deze internetgebruiker. In dat verband moet Google alle mogelijke maatregelen nemen om te zorgen voor een doeltreffende en volledige verwijdering van de koppelingen binnen het grondgebied van de EU, met inbegrip van geoblocking.

Beide (niet-bindende) stellingnames worden momenteel in overweging genomen door het Hof van Justitie, dat een beslissing zal nemen.

Websites die gebruik maken van de Facebook "Vind ik leuk"-knop zijn zelf (mede-) verantwoordelijk voor de bescherming van persoonsgegevens

De beheerder van een website die een plug-in van een derde partij, zoals de Facebook-"Vind ik leuk"-knop, in zijn website integreert, is samen met die derde partij verantwoordelijk voor de verwerking van persoonsgegevens die via de plug-in worden verzameld. Dat heeft AG Bobek vooropgesteld in zijn conclusie van 19 december 2018. Volgens de AG is dat het geval omdat de websitebeheerder door het enkele feit van het gebruik van de plug-in op zijn website bijdraagt aan de verwerking van persoonsgegevens. Dit heeft tot gevolg dat de websitebeheerder de bezoekers de vereiste minimuminformatie met betrekking tot de betrokken gegevensverwerking moet verstrekken en, indien nodig, hun toestemming moet verkrijgen voordat de persoonsgegevens worden verzameld en doorgegeven aan derde partijen. Dit is opnieuw een niet-bindende stellingname waarover het Hof van Justitie in de komende maanden een beslissing zal nemen.

Nieuwe richtlijnen over het territoriaal toepassingsgebied van de AVG

Artikel 3 AVG bevat de regels over het territoriale toepassingsgebied van de AVG en betekent een belangrijke ontwikkeling en uitbreiding van de gegevensbeschermingsregels in vergelijking met Richtlijn 95/46/EG.

Artikel 3 AVG definieert het territoriale toepassingsgebied van de AVG aan de hand van twee belangrijke criteria: het "vestigingscriterium" (artikel 3.1. AVG) en het "doelwitcriterium" (artikel 3.2. AVG). Wanneer aan één van deze twee criteria is voldaan, zijn de bepalingen van de AVG van toepassing op de verwerking van persoonsgegevens door de verwerkingsverantwoordelijke of de verwerker. Het ECG heeft recent richtlijnen gepubliceerd met meer uitleg en voorbeelden over de toepassing van beide criteria. Deze richtlijnen verschaffen meer duidelijkheid over de grenzen van wat een vestiging in de EU is en reiken enkele elementen aan om uit te maken of bedrijven gevestigd buiten de EU hun goederen of diensten al dan niet richten aan betrokkenen in de EU dan wel hun gedrag observeren. Ook de procedure voor de aanwijzing van een vertegenwoordiger in de EU en zijn verantwoordelijkheden komen verder aan bod in deze richtlijnen.

Meer informatie vindt u in de (ontwerp)richtlijnen van het ECG (voorlopig enkel in het Engels beschikbaar): richtlijnen 3/2018 betreffende het territoriale toepassingsgebied van de AVG (artikel 3).

Gegevensbeschermingsautoriteit ("GBA") preciseert de begrippen verwerkingsverantwoordelijke en verwerker

De GBA heeft op haar website een nota gepubliceerd met een overzicht van de begrippen verwerkingsverantwoordelijke en verwerker in het licht van de AVG. Ze zoomde daarbij ook in op enkele specifieke gevolgen voor vrije beroepen zoals advocaten. In de nota herhaalt de GBA de principes uit eerder gepubliceerde richtlijnen van de Europese privacytoezichthouders. Zo benadrukt de GBA dat de juridische kwalificatie van beide begrippen een feitelijke analyse voor elke verwerkingsactiviteit vergt waarbij de verantwoordelijkheden moeten worden gelegd bij de personen die een feitelijke invloed uitoefenen op de verwerkingsprocessen.

Meer informatie over de deze begrippen vindt u terug in de nota van de GBA: Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de AVG en enkele specifieke toepassingen voor vrije beroepen zoals advocaten.   

Eerste AVG-boetes opgelegd

De AVG blijft geen papieren tijger. In de voorbije maanden begonnen gegevensbeschermingsautoriteiten overal in Europa boetes uit te delen. In onze buurlanden werden de volgende acties ondernomen:

  • In Nederland heeft de Autoriteit Persoonsgegevens ("AP") Uber een boete van 600.000 euro opgelegd omwille van het laattijdig melden van een inbreuk op persoonsgegevens (artikelen 33-34 AVG).
  • De Franse privacytoezichthouder ("CNIL") legde Google een boete van 50 miljoen euro op wegens gebrek aan transparantie, ontoereikende informatie (artikelen 12-13 AVG) en gebrek aan geldige toestemming (artikel 6 AVG) voor de personalisering van haar advertenties.
  • De Duitse privacytoezichthouder ("LfDI Baden-Württemberg") legde een boete van 20.000 euro op aan een socialemediabedrijf voor een schending van haar verplichtingen met betrekking tot gegevensbeveiliging (artikel 32 AVG).

In België is het nog wachten op een eerste boete van de GBA. Eerder kondigde de GBA wel aan dat er al onderzoeken lopen.

Werkprogramma ECG 2019/2020 geeft inkijk in toekomstige prioriteiten

In de komende maanden mogen we meer richtlijnen verwachten van het ECG. Uit haar werkprogramma voor de periode 2019/2020 (voorlopig enkel beschikbaar in het Engels) blijkt dat het ECG zich onder meer zal concentreren op geconnecteerde voertuigen, camerabewaking, sociale media en blockchain.