Bescherming van persoonsgegevens: update van het vierde kwartaal

Spotlight
13 december 2019
Digital & gegevensbescherming
Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) ontwikkelt zich steeds verder, maar ook op vlak van ePrivacyverordening is er evolutie te melden. Deze update biedt u een overzicht van de belangrijkste ontwikkelingen uit het voorbije kwartaal.

Europese Toezichthouder voor Gegevensbescherming publiceert nieuwe richtlijnen inzake de begrippen verwerkingsverantwoordelijke, verwerker en gezamenlijke verwerkingsverantwoordelijken

De Europese Toezichthouder voor Gegevensbescherming (EDPS) heeft op 7 november 2019 nieuwe richtlijnen (in het Engels) gepubliceerd over de begrippen verwerkingsverantwoordelijke, verwerker en gezamenlijke verwerkingsverantwoordelijken. Hoewel de richtlijnen gericht zijn tot de EU-instellingen en organen, zijn ze ook nuttig zijn voor ondernemingen.

De richtlijnen herhalen grotendeels het advies 1/2010 van de artikel 29 Werkgroep over de begrippen "verwerkingsverantwoordelijke" en "verwerker". Daarnaast lichten ze de impact toe van nieuwe rechtspraak van het Europees Hof van Justitie (Wirtschaftsakademie en Fashion ID arresten) en worden nieuwe voorbeelden en gemakkelijke controlelijsten meegegeven.

Interessant aan deze richtlijnen is dat ze betogen dat een onderneming geen toegang tot persoonsgegevens moet hebben om als verwerkingsverantwoordelijke te worden beschouwd. Het volstaat dat een organisatie het doel en de middelen van de verwerking bepaalt, invloed heeft op de verwerking door de verwerking van persoonsgegevens te kunnen starten (en stoppen) of anonieme statistieken ontvangt op basis van persoonsgegevens die door een andere onderneming zijn verzameld en verwerkt.

Europees Comité voor gegevensbescherming publiceert drie nieuwe richtlijnen

Het Europees Comité voor Gegevensbescherming (ECG) nam op 8 oktober 2019 de finale tekst aan van de richtlijnen (in het Engels) inzake gegevensverwerking op basis van een contractuele grondslag in het kader van de verlening van onlinediensten (artikel 6(1)(b) AVG – zie voor een bespreking van de ontwerprichtlijnen Eubelius Spotlights juni 2019).

Het ECG publiceerde op 12 november 2019 de finale richtlijnen inzake het territoriale toepassingsgebied van de AVG (artikel 3 – zie voor een bespreking van de ontwerprichtlijnen Eubelius Spotlights maart 2019). Die finale richtlijnen verduidelijken verschillende elementen waarover onduidelijkheid bleef bestaan na de ontwerprichtlijnen, met name over (i) het vestigingscriterium, (ii) het doelwitcriterium, (iii) verwerkingen op een plaats waar het recht van een lidstaat krachtens het internationaal publiekrecht van toepassing is, en (iv) vertegenwoordigers van niet in de EU gevestigde verwerkingsverantwoordelijken of verwerkers.

Op 13 november 2019 publiceerde het ECG ontwerprichtlijnen (in het Engels) over de verplichting tot gegevensbescherming door ontwerp en door standaardinstellingen (data protection by design en by default – artikel 25 AVG). Gegevensbescherming door ontwerp houdt in dat ondernemingen, vanaf het ontwerp van producten en diensten die gegevens verwerken, technische en organisatorische maatregelen moeten nemen om de beginselen inzake gegevensbescherming te waarborgen. Gegevensbescherming door standaardinstellingen betekent dat ondernemingen producten en diensten standaard zo privacyvriendelijk mogelijk moeten instellen. De richtlijnen sommen de belangrijkste elementen voor ontwerp en standaardinstellingen op vertrekkende van de basisbeginselen opgenomen in artikel 5 AVG.

Europees Hof van Justitie verduidelijkt toestemmingsvereisten voor cookies – is uw website nog conform?

Op 1 oktober 2019 heeft het Hof van Justitie een belangrijk arrest geveld over toestemming voor het plaatsen van cookies. De zaak betrof een Duitse website, Planet49 GmbH, die een onlineloterij organiseerde. Om deel te nemen aan de loterij moesten deelnemers hun naam en adres opgeven en twee vakjes aanvinken/uitvinken: (i) een eerste niet-aangevinkt vakje (opt-in) waarmee toestemming werd gegeven voor aanbiedingen van derden en zonder hetwelk het niet mogelijk was om deel te nemen aan de loterij, en (ii) een vooraf aangevinkt vakje (opt-out) waarmee de toestemming kon worden gegeven voor het plaatsen van cookies.

Uit het arrest van het Hof van Justitie zijn drie lessen te trekken voor ondernemingen die cookies plaatsen:

  • Aangevinkte vakjes (opt-out) zijn geen rechtsgeldige toestemming onder de AVG of de ePrivacyrichtlijn. Toestemming vereist namelijk een ondubbelzinnige, en dus een actieve, wilsuiting van de betrokkene (opt-in).
  • Toestemming moet bovendien per type cookie individueel worden gegeven, ongeacht of de cookies persoonsgegevens verzamelen. Een knop om persoonsgegevens te versturen waarmee tegelijkertijd toestemming wordt gegeven om alle cookies te plaatsen is bijgevolg onvoldoende.
  • De gebruiker kan slechts geldig toestemming geven indien de verwerkingsverantwoordelijke duidelijke en volledige informatie heeft bezorgd. Deze informatie moet de gebruiker toelaten om in te schatten wat de gevolgen van zijn toestemming kunnen zijn en moet minstens informatie inhouden over de bewaartermijn van de cookies (hoe lang de cookies actief blijven of hoe deze termijn bepaald wordt), en of derden al dan niet toegang tot de cookiedata kunnen hebben.

Gegevensbeschermingsautoriteit publiceert aanbeveling over de protocolverplichting

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft op 18 oktober 2019 een aanbeveling gepubliceerd over de protocolverplichting. Die verplichting volgt uit artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Kaderwet). Ze houdt in dat een federale overheid die persoonsgegevens deelt met een andere overheid of privéorgaan met die partij een protocol moet sluiten dat afspraken inhoudt over de gegevensdeling. Die protocollen worden in principe individueel tussen de verstrekkende overheid en de ontvanger(s) gesloten en kunnen veel werk inhouden. De GBA zet de deur open voor (i) een modelprotocol voor alle ontvangende verwerkingsverantwoordelijken dat individueel wordt gesloten, of (ii) een algemeen protocol dat gesloten wordt met een groep gelijksoortige ontvangende verwerkingsverantwoordelijken.

Gegevensbeschermingsautoriteit neemt vijf nieuwe beslissingen ten gronde

De GBA heeft ondertussen vijf nieuwe beslissingen ten gronde genomen.

  • Recent legde de GBA een burgemeester en een schepen elk een boete van 5.000 EUR op wegens misbruik van persoonsgegevens tijdens de lokale verkiezingen van oktober 2018. In beide gevallen waren gegevens met miskenning van het doelbindingsprincipe gebruikt (net zoals overigens in eerdere beslissing van de GBA het geval was – zie voor een bespreking van die beslissing Eubelius Spotlights juni 2019). De burgemeester gebruikte persoonsgegevens die hij in zijn ambt als burgemeester had verkregen voor zijn verkiezingscampagne. De schepen gebruikte voor zijn verkiezingscampagne dan weer een klantenlijst die hij verkregen had in het kader van het beroep dat hij uitoefende naast zijn mandaat als schepen. De beslissingen illustreren het risico van de recyclage van persoonsgegevens.
  • In september 2019 oordeelde de GBA dat het verplicht inlezen van de elektronische identiteitskaart (eID) door een handelaar om een klantenkaart aan te maken in strijd is met de AVG en legde de (tot nog toe hoogste) boete van 10.000 EUR op. De GBA oordeelde dat een verplichte inlezing van de identiteitskaart niet tot een geldige (vrije) toestemming leidt.
  • De GBA seponeerde een klacht ingediend wegens de beweerde onvolledigheid van antwoord op de uitoefening van het recht van inzage. De GBA besliste dat omdat er, na onderzoek van de inspectiedienst, te weinig indicaties waren dat de verweerder onvoldoende inspanning zou hebben geleverd om adequaat te reageren op de vraag van de klager. Interessant aan deze beslissing is dat er tijdens het onderzoek door de inspectiedienst bepaalde onregelmatigheden aan het licht zijn gekomen (bijvoorbeeld een onduidelijke rechtsgrondslag) die niet het voorwerp van de klacht uitmaakten. Voor die inbreuken legde de GBA de verweerder als sanctie op dat hij de verwerking binnen een termijn van drie maanden in overeenstemming moet brengen met de AVG.
  • In een vijfde beslissing, herinnerde de GBA dat een verwerkingsverantwoordelijke de verzoeker binnen de termijn van één maand ondubbelzinnige informatie moet bezorgen over het gevolg dat aan zijn verzoek werd gegeven. Als de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek, moet hij bovendien meedelen waarom het verzoek zonder gevolg is gebleven. De klacht ging in dit geval over het niet-verwijderen van persoonsgegevens verkregen bij een sollicitatie. Ook bij deze beslissing stelde de GBA bepaalde onregelmatigheden vast (bijvoorbeeld een onvolledig verwerkingsregister) die niet het voorwerp van de klacht uitmaakten. De GBA heeft de verweerder berispt voor de verschillende inbreuken op de AVG.

Marktenhof vernietigt beslissing ten gronde van de GBA

In de Eubelius Spotlights van september 2019 schreven we over een berisping van de GBA aan de FOD Volksgezondheid omwille van het niet-beantwoorden van een verzoek tot inzage, ondanks een eerder bevel daartoe (artikel 15 AVG). Het Marktenhof heeft die beslissing in hoger beroep vernietigd.

Volgens het Marktenhof was de beslissing van de GBA om de FOD Volksgezondheid te sanctioneren niet rechtsgeldig gemotiveerd. Verder stelde het Marktenhof dat de GBA zich niet mag uitlaten over de inhoud van een interne of administratieve beslissing. De GBA is namelijk enkel bevoegd om te oordelen over een correcte naleving van de AVG en de Belgische privacywetgeving. Aangezien de bestreden beslissing inhoudelijke kritiek bevatte over de werking van de FOD Volksgezondheid, was er sprake van machtsoverschrijding, wat de beslissing volgens het Marktenhof onwettelijk maakte.

Recente ontwikkelingen op vlak van de toekomstige ePrivacy-Verordening

De Raad van de Europese Unie (onder Fins voorzitterschap) heeft op 8 November 2019 zijn herziene tekst voor het Voorstel van Verordening betreffende Privacy en Elektronische Communicatie ("ePrivacy-Verordening") gepubliceerd. Deze tekst werd door de Raad aan het Comité van Permanente Vertegenwoordigers (COREPER) voorgelegd met oog op een gemeenschappelijke ontwerptekst.

Met die tekst leek het even dat er eindelijk vooruitgang zou komen in de zoektocht naar een compromis over de tekst van de ePrivacy-Verordening. Op 22 november 2019 heeft COREPER het ontwerp echter verworpen. De EU Commissaris voor de Interne Markt, Thierry Breton, kondigde op 3 december 2019 in een speech aan dat het mogelijk is dat de Europese Commissie onder het komende Kroatische voorzitterschap een herzien voorstel met een herwerkte tekst van de ePrivacy-Verordening zal indienen.

Anneleen Van de Meulebroucke

Partner
13 maart 2024

De Artificial Intelligence Act formeel aangenomen

De Artificial Intelligence Act of AIA is de eerste Europese wetgeving met wereldwijde impact die horizontale regels vastlegt voor de...
16 februari 2024

Toepassing Digitaledienstenverordening en recente ontwikkelingen

De Digitaledienstenverordening, beter gekend als Digital Services Act of DSA wordt van toepassing op 17 februari 2024 (Verordening (EU) 2022...
7 februari 2024

Derden kunnen nu ook tussenkomen in procedures voor de Geschillenkamer van de GBA en beroep instellen voor het Marktenhof

Op 7 februari 2024 verscheen in het Belgisch Staatsblad de Wet van 7 september 2023 tot wijziging van de wet van 3 december 2017 tot...