De Algemene Verordening Gegevensbescherming (AVG) blijft zich na de inwerkingtreding op 25 mei 2018 aan een razend tempo verder ontwikkelen. We zetten de belangrijkste ontwikkelingen van het voorbije kwartaal op een rijtje.

Gegevensbeschermingsautoriteit schrijft eerste administratieve geldboete uit

Op 28 mei 2019 legde de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) haar eerste administratieve geldboete op sinds de inwerkingtreding van de AVG. De zaak betrof een burgemeester die e-mailadressen verkregen in het kader van een verkavelingsdossier had gebruikt om de dag voor de gemeenteraadsverkiezingen een verkiezingsboodschap te sturen. De GBA oordeelde dat een burgemeester een voorbeeldfunctie heeft inzake het naleven van de AVG en besloot om de burgemeester een administratieve geldboete van EUR 2.000 op te leggen.

U kan de volledige beslissing van de Geschillenkamer hier terugvinden.

Europese Commissie publiceert richtsnoeren over de wisselwerking tussen de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de AVG

Sinds 28 mei 2019 is de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens (de Verordening) van toepassing. De Verordening streeft een vrij verkeer van niet-persoonsgebonden gegevens (bijvoorbeeld geaggregeerde en geanonimiseerde gegevenssets die worden gebruikt voor bigdata-analyses) binnen de Europese Unie na en verbiedt onder andere nationale regels die vereisen dat gegevens uitsluitend op het nationale grondgebied worden opgeslagen. Samen met de AVG vormt deze verordening een alomvattend kader voor een gemeenschappelijke Europese gegevensruimte en een vrij verkeer van alle gegevens binnen de EU.

Op 29 mei 2019 heeft de Europese Commissie richtsnoeren gepubliceerd over de wisselwerking tussen de Verordening en de AVG. Deze richtsnoeren geven onder andere aan hoe bedrijven beide regelgevingen kunnen respecteren wanneer zij gemengde gegevenssets verwerken, die zowel persoonsgegevens als niet-persoonsgebonden gegevens bevatten.

Hof van Beroep te Brussel verwijst de zaak tussen de Gegevensbeschermingsautoriteit en Facebook naar het Hof van Justitie

Op 8 mei 2019 sprak het Hof van Beroep te Brussel zich uit over de zaak die sinds 2015 loopt tussen de toenmalige Privacycommissie en Facebook. De inzet van de zaak betreft de informatie die Facebook over zowel gebruikers als niet-gebruikers van Facebook inzamelt aan de hand van cookies, social plug-ins (bijvoorbeeld de "vind ik leuk"-knop) en (onzichtbare) pixels. Door die technologieën zou Facebook het surfgedrag van betrokkenen kunnen volgen zonder dat zij daarvan op de hoogte zijn.

Eerder verdedigde de Gegevensbeschermingsautoriteit (GBA) de bevoegdheid van de Belgische rechtbanken en eiste ze dat Facebook de Belgische en Europese privacyregels zou naleven. Facebook weigert echter de bevoegdheid van de Belgische rechtbanken in deze zaak te erkennen. Het Hof van Beroep besliste nu om over die bevoegdheidskwestie prejudiciële vragen te stellen aan het Hof van Justitie.

U kan het dispositief van het arrest en de prejudiciële vragen hier terugvinden.

Europees Comité voor Gegevensbescherming publiceert (ontwerp)richtsnoeren over contractuele verplichtingen als rechtsgrondslag voor de verwerking van persoonsgegevens bij onlinediensten

Het Europees Comité voor Gegevensbescherming (ECG) heeft op 9 april 2019 (ontwerp)richtsnoeren gepubliceerd over contractuele verplichtingen als rechtsgrondslag voor gegevensverwerkingen bij onlinediensten (artikel 6.1.b) AVG).

De richtsnoeren bepalen onder meer dat deze rechtsgrondslag maar geldig kan worden ingeroepen als de verwerkingsverantwoordelijke kan aantonen dat (i) er een overeenkomst bestaat met het datasubject, (ii) de overeenkomst rechtsgeldig is, en (iii) de gegevensverwerking objectief noodzakelijk is voor een doel dat een wezenlijk onderdeel vormt van de levering van de contractuele onlinedienst aan het datasubject. Vooral die laatste voorwaarde is van belang. Zo kunnen de gegevensverwerkingen door een online retailer die gepaard gaan met de online betaling en de offline levering van een product wellicht wel op basis van artikel 6.1.b) AVG plaatsvinden. Het opstellen van een profiel van de klant zal daarentegen niet meer als objectief noodzakelijk te beschouwen zijn en moet dus op basis van een andere rechtsgrondslag plaatsvinden.

Het ECG geeft verder aan dat de verwerking van persoonsgegevens met het oog op de verbetering van de dienstverlening, fraudepreventie en reclame op basis van het surfgedrag meestal niet op grond van artikel 6.1.b) AVG kan plaatsvinden. Personalisatie van inhoud kan dat onder bepaalde voorwaarden wel.

Meer informatie vindt u in de (ontwerp)richtsnoeren van het ECG (voorlopig enkel in het Engels beschikbaar): richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens onder artikel 6.1.b) AVG in het kader van onlinediensten.

GBA keurt finale lijst goed met betrekking tot gegevensbeschermingseffectbeoordeling

Elke toezichthoudende autoriteit moet een lijst opstellen van de verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling (GBE) verplicht is. De officiële lijst van de GBA werd op 22 maart 2019 gepubliceerd in het Belgisch Staatsblad en is op 1 april 2019 in werking getreden. U vindt de volledige lijst hier terug.

Advocaat-generaal bij Hof van Justitie en Nederlandse Autoriteit Persoonsgegevens laten hun licht schijnen over de toestemmingsvereisten bij cookies

Advocaat-generaal (AG) Szpunar bracht op 21 maart 2019 zijn conclusie (in het Engels) uit over de toestemmingsvereisten met betrekking tot cookies. De AG is onder meer van mening dat vooraf aangevinkte vakjes voor het gebruik van cookies geen rechtsgeldige toestemming opleveren. Hij benadrukt dat de toestemming actief tot uiting moet worden gebracht. De conclusie van de AG is op zich geen verrassing. De AVG bepaalt immers duidelijk dat stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit niet als toestemming geldt (overweging 32 AVG).

In dezelfde context situeert zich het gebruik van zogenaamde "cookie walls". Daarbij krijgen bezoekers slechts toegang tot een website nadat zij gedwongen worden om toestemming te geven voor de plaatsing van (advertentie)cookies (bijvoorbeeld omdat zij geen andere keuze krijgen en zonder toestemming de website niet kunnen bezoeken). De Nederlandse toezichthouder besliste recent dat die methodes niet toegestaan zijn.

Rijksarchief verschaft uitleg over de toepassing van de AVG in het kader van archiefbeheer

Volgens het Rijksarchief moeten de documenten op grond van de archiefwet van 24 juni 1955 integraal worden bewaard en overgebracht naar het Rijksarchief, ook wanneer ze persoonsgegevens bevatten, zo blijkt uit een omzendbrief van 14 maart 2019 van het Rijksarchief. Het Rijksarchief verwijst daarbij in het bijzonder naar het uitzonderingsregime uit de AVG voor de archivering in het algemeen belang en naar (titel 4 van de) Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Voor meer informatie over bewaring en overbrenging van documenten kan u terecht op de website van het Rijksarchief.

ECG brengt een nieuw advies uit over de wisselwerking tussen de e-privacy-richtlijn en de AVG

Op 12 maart 2019 heeft het ECG een advies aangenomen over de wisselwerking tussen de e-privacy-richtlijn en de AVG, met name wat betreft de competentie, taken en bevoegdheden van de gegevensbeschermingsautoriteiten voor het geval zowel de e-privacy-richtlijn als de AVG van toepassing zijn op één reeks verwerkingen. Het ECG benadrukt in zijn advies eveneens dat de e-privacy-richtlijn de AVG verder specifieert en aanvult, zodat de meest specifieke regel voorrang heeft wanneer beide wetgevende teksten van toepassing zijn. Wanneer bijvoorbeeld voor één specifieke gegevensverwerkingsactiviteit toestemming vereist is volgens de e-privacy-richtlijn (bijvoorbeeld voor het gebruik van bepaalde cookies), zal de e-privacy-richtlijn voorrang hebben op de mogelijke grondslagen die artikel 6 van de AVG voorziet.

U kan het advies hier terugvinden (voorlopig enkel beschikbaar in het Engels).

GBA publiceert haar jaarverslag 2018

De GBA heeft recent haar jaarverslag 2018 gepubliceerd, waarin de belangrijkste ontwikkelingen uit 2018 worden toegelicht. Uit het jaarverslag blijkt dat in het vierde kwartaal van 2018 reeds 70 dossiers bij de inspectiedienst aanhangig werden gemaakt, voornamelijk met trekking tot de lokale verkiezingen van 2018 en het gebruik van camera's en de nieuwe camerawetgeving.