Sinds 25 mei 2018 gelden er in ons land - net als trouwens in de rest van de Europese lidstaten - nieuwe privacyregels. Gevolg van de inwerkingtreding van de GDPR (General Data Protection Regulation) van 27 april 2016. Die verordening is rechtstreeks van toepassing in ons land, maar ze laat ruimte voor een beperkte nationale aanvulling. De nieuwe wet van 30 juli 2018 vult die zgn. open clausules nu in. We stippen enkele nieuwigheden aan.
Kinderen
Kinderen kunnen in ons land al vanaf 13 jaar een profiel op sociale media aanmaken, zonder toestemming van de ouders. Europa legde de grens op 16 jaar, maar liet een beoordelingsruimte aan de lidstaten. Ons land kiest dus voor een lagere leeftijd. Voor kinderen jonger dan 13 jaar is wel nog de toestemming van de ouders nodig.
Verwerking van gevoelige gegevens
De verwerking van persoonsgegevens waaruit ras of ethnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijkt, is in principe verboden. Net als de verwerking van genetische gegevens, van biometrische gegevens met het oog op een unieke identificatie, van gezondheidsgegevens en van gegevens over iemands seksueel gedrag of seksuele gerichtheid. Maar deze bijzondere categorieën van persoonsgegevens kunnen toch verwerkt worden in een aantal limitatief omschreven gevallen. Het kan bijvoorbeeld om redenen van zwaarwegend algemeen belang die in de nationale wetgeving zijn omschreven. Ons land voorziet in drie soorten verwerkingen die beschouwd kunnen worden als noodzakelijke verwerkingen om redenen van zwaarwegend algemeen belang. Namelijk de verwerking door
| • | instellingen voor de verdediging van de rechten van de mens; |
| • | Child Focus; en |
| • | instellingen die instaan voor de hulpverlening aan seksueel delinquenten. |
Let wel. De verwerking van deze gevoelige persoonsgegevens door deze instellingen kan niet zomaar. De verwerking moet – zoals de GDPR eist – in verhouding staan tot het nagestreefde doel en de wezenlijke inhoud van het recht op gegevensbescherming eerbiedigen. Bovendien moeten er passende en specifieke maatregelen getroffen zijn ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
Verwerking van genetische en biometrische gegevens door deze verenigingen en stichtingen met als doel het op een unieke wijze identificeren van een fysieke persoon is verboden op basis van deze algemene aanvullende regeling. Dit soort verwerking kan alleen als een bijzondere wettelijke bepaling dit toestaat.
Strafrechtelijke veroordelingen
Volgens de GDPR kunnen persoonsgegevens omtrent strafrechtelijke veroordelingen en strafbare feiten onder meer verwerkt worden als de nationale wetgeving dat toestaat en mits die passende waarborgen voor de rechten en vrijheden van de betrokkene biedt. Voortaan laat de Belgische wetgever de verwerking van persoonsgegevens over strafrechtelijke veroordelingen of strafbare feiten ook toe als de betrokkene zijn uitdrukkelijke schriftelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor welbepaalde doeleinden. Verwerking is vanaf nu ook toegelaten als het gaat om persoonsgegevens die kennelijk door de betrokkene op eigen initiatief openbaar zijn gemaakt voor welbepaalde doeleinden. In beide gevallen moet de verwerking wel tot die doeleinden beperkt blijven.
Afwijkingen op rechten van betrokkene
De persoon van wie de persoonsgegevens worden verwerkt (de zgn. betrokkene) krijgt in de GDPR heel wat rechten. Zoals het recht op informatie, het recht op inzage, het recht op rectificatie van onjuiste gegevens, het recht om bezwaar te maken, het recht op vergetelheid, het recht op beperking van de verwerking, het recht op gegevensoverdraagbaarheid en het recht om ingelicht te worden over inbreuken op de beveiliging.
De Belgische wetgever somt nu een aantal strikt omschreven gevallen op waarin van die rechten kan afgeweken worden. Die rechten zijn bv. niet van toepassing wanneer de verwerkingsverantwoordelijke beschikt over persoonsgegevens die rechtstreeks of onrechtstreeks afkomstig zijn van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene Administratie van Douane en Accijnzen en de Passagiersinformatie-eenheid (PIE). De rechten zijn evenmin van toepassing op de verwerkingen van persoonsgegevens door de PIE zelf. En ze gelden evenmin wanneer de verwerkingsverantwoordelijke over persoongegevens beschikt die rechtstreeks of onrechtstreeks afkomstig zijn van bv. de inlichtingen- en veiligheidsdiensten, het OCAD en de Nationale Veiligheidsoverheid.
Protocollen
Wanneer de federale overheid gegevens doorgeeft aan andere overheden of aan privéorganen formaliseert zij - voor elk type van verwerking - deze doorgifte aan de hand van een protocol tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke-ontvanger van de gegevens. Het protocol kan bv. melding maken van de doeleinden waarvoor de persoongegevens worden doorgegeven, van de categorieën van doorgegeven persoongegevens, van de wettelijke grondslag en de periodiciteit van de doorgifte, van de sancties bij niet-naleving van het protocol…
Functionaris voor gegevensbescherming
Een privéorgaan dat persoonsgegevens verwerkt voor rekening van een federale overheid of waaraan een federale overheid persoonsgegevens doorgeeft, is verplicht om een functionaris voor gegevensbescherming aan te duiden indien uit een gegevensbeschermingseffectbeoordeling blijkt dat het een verwerking betreft die een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen.
Journalistieke doeleinden
Ons land stelt de verwerking van persoonsgegevens voor journalistieke doeleinden en voor academische, artistieke of literaire doeleinden vrij van bepaalde GDPR-verplichtingen.
Wetenschappelijk of historisch onderzoek
Bij de verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of voor statistische doeleinden kunnen de lidstaten afwijken van bepaalde rechten die volgens de GDPR aan de betrokkenen toekomen. Ook voor de verwerking met het oog op archivering in het algemeen belang zijn afwijkingen mogelijk. België maakt gebruik van die mogelijkheid. Maar tegelijk voorziet het wel in een reeks waarborgen voor de rechten en vrijheden van de betrokkenen.
Stakingsvordering
De voorzitter van de rechtbank van eerste aanleg stelt, zetelend zoals in kort geding, het bestaan vast van een verwerking die strijdig is met de wettelijke of reglementaire regels rond de bescherming van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens. Hij kan de staking van die verwerking bevelen.
Hij neemt kennis van alle vorderingen omtrent het recht om kennis te krijgen van de verwerkte persoonsgegevens. Ook vorderingen tot rectificatie, tot verwijdering of tot het verbieden van het gebruik van onjuiste, onvolledige of niet ter zake dienende persoonsgegevens of waarvan de registratie, de mededeling of de bewaring verboden is en waartegen de betrokkene zich heeft verzet of die langer bewaard werden dan de toegestane duur behoren tot zijn bevoegdheid.
Let wel op. Vanaf het moment dat de verwerking persoonsgegevens betreft die worden verwerkt in de loop van een opsporingsonderzoek, een gerechtelijk onderzoek, een strafrechtelijke procedure voor de bodemrechter of een procedure voor de uitvoering van een strafrechtelijke vonnis, staat de voorzitter van de rechtbank van eerste aanleg buiten spel. De beslissing over de rectificatie, de wissing of het verbod op gebruik van de persoonsgegevens of de beperking van de verwerking behoort in die gevallen uitsluitend tot de bevoegdheid van – al naargelang de fase van de procedure – het openbaar ministerie of de strafrechter.
De stakingsvordering wordt ingesteld bij verzoekschrift op tegenspraak. De eiser kiest zelf bij welke voorzitter van de rechtbank van eerste aanleg hij zijn vordering indient. Drie keuzemogelijkheden: zijn eigen woonplaats of verblijfplaats als hij zelf de betrokkene is, de woonplaats, verblijfplaats, zetel of plaats van vestiging van de verweerder of de plaats waar de verwerking gebeurt. De vordering kan ingesteld worden door de betrokkene zelf of door de toezichthoudende autoriteit.
De Belgische hoven en rechtbanken hebben ook een internationale rechtsmacht.
Na de stakingsvordering kan de eiser een schadevergoeding vragen volgens het contractuele of buitencontractuele aansprakelijkheidsrecht.
Vertegenwoordiging
Wie vindt dat zijn persoonlijke levenssfeer geschonden is, kan zich laten vertegenwoordigen door een orgaan, organisatie of vzw. Zij kunnen namens hem een klacht indienen en namens hem de administratieve of gerechtelijke beroepen uitoefenen. Hetzij bij de toezichthoudende autoriteit, hetzij bij de rechterlijke macht. Maar alleen als ze al minstens drie jaar actief zijn op het gebied van de bescherming van de rechten en vrijheden van de betrokkenen in het kader van de bescherming van de persoonsgegevens.
Sancties
Voor bijna alle verplichtingen van de GDPR is voorzien in administratieve sancties. Voor ernstige inbreuken zijn er strafrechtelijke sancties.
Inwerkingtreding
De nieuwe wet van 30 juli 2018 is in werking getreden op 5 september 2018. De privacywet van 8 december 1992 en haar belangrijkste uitvoeringsbesluit, het KB van 13 februari 2001, zijn opgeheven.
