Data, legislation & privacy. Toepassing op CRM

Data, legislation & privacyToepassing op CRM

Johan Vandendriessche

Partner – Crosslaw

Gastprofessor ICT-recht – UGent

[email protected]

www.crosslaw.be

Verordening: stand van zaken

Geüniformeerde regelgeving binnen de EU Goedgekeurd EP op 14 april 2016 Toepassing allicht juni/juli 2018

Toepassingsgebied Materieel

• Verwerking van persoonsgegevens

Territoriaal• Vestiging binnen de EU• Geen vestiging binnen de EU

Administratieve vereenvoudiging? Afschaffing van de aangifteverplichting “One Stop Shop”-mechanisme

Sanctiemechanismen

Brussels - Kortrijk | www.crosslaw.be 2

Verordening: basisfilosofie

Filosofie van de Verordening wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG Responsabilisering

Risico-gebaseerde aanpak

Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders Principe van responsabilisering uitgewerkt in adviezen

Verordening: documentatieplicht en aantoonbare naleving van de Verordening Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader



Compliance wordt proactieve compliance Aantoonbare naleving van de wettelijke bepalingen

• Data protection officer

• Uitgebreide documentatieplicht en data protection impact assessments

• Meldingsplicht gegevenslekken (“data breach notification”)

In geval van geschil of controle: verantwoordelijke voor de verwerking moet naleving van de Verordening kunnen aantonen• Inbouwen van compliance processen

• Regelmatige controle van processen

• Compliance activiteit is een belangrijke factor bij risico- en aansprakelijkheidsbeperking



Risico-gebaseerde aanpak Twee stappen: risico en hoog risico

Risicobepaling Waarschijnlijkheid (‘likelihood’) Ernst (‘severity’) Criteria: de aard, omvang, context en de doeleinden van de verwerking Rol van pseudonymisering

Impact: specifieke bepalingen enkel van toepassing in geval van hoog risico Data protection impact assessment Kennisgeving aan betrokkenen bij gegevenslekken Voorafgaande consultatie van toezichthouder bij DPIAs


Toestemming als verwerkingsgrondslag

Wordt toestemming gebruikt als grondslag? Opgelet: striktere toepassing in de Verordening

Louter stilzwijgen is niet langer voldoende• Noodzaak van een duidelijke actieve handeling

• Wel: schriftelijke of mondelinge verklaring, klikken van een vakje, selecteren technische instellingen

• Niet: reeds aangekruiste vakjes, inactiviteit

• Resultaat van compromis

Toestemming per finaliteit

Bewijslast bij verwerkingsverantwoordelijke

Indien schriftelijke verklaring Begrijpelijke, duidelijke en eenvoudige taal

Duidelijk onderscheiden



Geen overgangsmaatregel Toestemming moet voldoen aan nieuwe vereisten

Controleer bestaande toestemmingen indien gebaseerd op mechanisme van impliciete toestemming

Minderjarigen bij diensten van informatiemaatschappij Ten minste 16 jaar (kan naar 13 jaar gebracht worden)

Indien jonger: wettelijke vertegenwoordiger (doorgaans de ouders)

Redelijke inspanning om toestemming van vertegenwoordiger te controleren



Algemeen recht om toestemming in te trekken Geen motivering vereist

Even eenvoudig als het geven van toestemming

Houd rekening met het recht om de toestemming in te trekken Maak een onderscheid tussen de grondslagen op basis van de doeleinden

• Noodzaak voor uitvoering overeenkomst/legitiem belang

• Marketing, profiling,…

Kennisgevingsplicht inzake verwerkingsgrondslagen

Oplossing? Dashboard


Legitiem belang als verwerkingsgrond

Gerechtvaardigd belang Verwerkingsverantwoordelijke Derde

Belangenafweging (‘relevant en passende verhouding’) Belangen en grondrechten van de betrokkene Redelijke verwachtingen betrokkene Specifiek geval: kind

Documentatie van de belangenafweging is noodzakelijk Voorbeelden vermeld in Verordening

Fraudebestrijding Direct marketing Verwerkingen in vennootschapsgroepen (HR en klantenbeheer) Netwerk- en informatiebeveiliging Doorgeven persoonsgegevens in het kader van gerechtelijke onderzoeken


Rechten van de betrokkene

Verruimde informatieplicht Identiteit verwerkingsverantwoordelijke en zijn DPO Verwerkingsdoeleinden en de grondslag De gerechtvaardigde belangen, indien van toepassing (Categorieën) van ontvangers en persoonsgegevens Internationale doorgiften Bewaartermijn Rechten van de betrokkene Bestaan van het recht om de toestemming in te trekken Klachtrecht …

Mogelijkheid om gestandaardiseerde iconen op te leggen



Rechtstreekse vs. onrechtstreekse inzameling

Termijnen Redelijke termijn, uiterlijk 1 maand na verkrijging

Communicatie: uiterlijk het moment van het eerste contact

Mededeling ontvanger: uiterlijk het tijdstip van mededeling

Vrijstelling Reeds gekend

Onmogelijk of onevenredig grote inspanning (mits bijkomende maatregelen)

Verkrijgen of verstrekken vloeit voort uit een wettelijk voorschrift

Beroepsgeheim of statutaire geheimhouding met betrekking tot de persoonsgegevens



Recht op gegevenswissing (‘Recht op vergetelheid’) Wissen van persoonsgegevens

• Niet langer nodig• Intrekking toestemming• Bezwaar• Onrechtmatige verwerking• Wettelijke verplichting• Minderjarige in de context van dienst informatiemaatschappij

Uitzonderingen• Vrije meningsuiting en informatie• Wettelijke verplichting• Algemeen belang op het vlak van volksgezondheid• Archivering• Instellen, uitoefening of onderbouwen van een rechtsvordering



Bij openbaarmaking, redelijke inspanning om uitoefening recht op vergetelheid kenbaar te maken aan derden die de persoonsgegevens verwerken

Niet te verwarren met het recht om vergeten te worden (rechtspraak HvJEU inzake zoekrobotten) Beperkt toepassingsgebied

Eigen toepassingsvoorwaarden

Richtlijnen Artikel 29 Werkgroep



Recht op beperking van de verwerking Verbod op verwerking van persoonsgegevens

• Betwisting van nauwkeurigheid (gedurende periode verificatie)

• Betwisting van de rechtmatigheid met verzet tegen wissen

• Niet langer nodig voor verwerkingsverantwoordelijke, maar wel door betrokkene in het kader van de instelling, uitoefening of onderbouwing van een rechtsvordering

• Uitoefening van een bezwaar, in afwachting van antwoord

Uitzonderingen• Toestemming

• Vaststelling, uitoefening of verdediging van een recht in rechte

• Bescherming van rechten van derden

• Algemeen belang

Opslag blijft steeds mogelijk



Recht op gegevensoverdraagbaarheid Gegevens overhandigd door de betrokkene aan de verantwoordelijke

Verwerking gebaseerd op toestemming of contractuele noodzakelijkheid

Verwerking m.b.v. geautomatiseerde middelen

Hoe Aan de betrokkene in een gestructureerd en algemeen gebruikt machinaal

leesbaar formaat

Overdracht toelaten zonder hinder

Indien technisch mogelijk: rechtstreeks aan nieuwe verwerkingsverantwoordelijke

Bijkomende aanbevelingen van Artikel 29 WP aangekondigd



Automatische besluitvorming (profilering) Automatische verwerking van persoonsgegevens

Evaluatie van persoonlijke kenmerken

Opt-out in verband met maatregelen indien rechtsgevolgen of treffen in aanmerkelijke mate

Uitzonderingen Gewone persoonsgegevens

• Contractuele noodzaak, toegelaten door de wet of uitdrukkelijke toestemming

Gevoelige persoonsgegevens• Noodzaak voor publiek belang of uitdrukkelijke toestemming



Aanvullende bescherming Passende maatregelen ter bescherming van rechten, vrijheden en

gerechtvaardigd belang van de betrokkene

Bijkomende rechten• Recht op menselijke tussenkomst van de verwerkingsverantwoordelijke

• Recht om standpunt kenbaar te maken

• Recht om besluit aan te vechten

Informatieplicht• Bestaan

• Nuttige informatie over de onderliggende logica

• Het belang en de verwachte gevolgen van de verwerking voor de betrokkene


Privacy by Design / Privacy by Default

Privacy by design and by default Passende technische en organisatorische maatregelen

Afweging• Stand van de techniek

• Uitvoeringskosten

• Aard, omvang, context en doel van de verwerking

• Risico’s

Belangrijke afweging bij nieuwe producten/diensten

Technologische implementatie

Richtlijnen Artikel 29 Werkgroep


Functionaris voor gegevensbescherming (DPO)

Verplichte aanstelling Overheidsinstantie of –orgaan

Hoofdzakelijk belast met regelmatige en stelselmatige observatie op grote schaal

Hoofdzakelijk belast met grootschalige verwerking gevoelige gegevens

Wettelijke verplichting

Groepscoördinatie is mogelijk

Rol (intern of extern persoon)

Advies- en contactfunctie

Rechtstreeks communicatiekanaal naar hoogste leidinggevende


Meldingsplicht bij datalekken

Voorbereiding voor eventuele datalekken A priori werkwijze bepalen

Meldingsprocedure uitwerken Meldingsplicht aan de toezichthouder

Zonder vertraging en in elk geval binnen de 72 uur

Indien onmogelijk: motiveringsplicht

Uitzondering: indien geen risico voor de betrokken personen

Meldingsplicht aan de betrokkenen In geval van risico voor de betrokkenen

Vrijstelling mogelijk (b.v. bij encryptie)

Verwerker heeft meldingsplicht ten aanzien van de verantwoordelijke


Enkele praktische zaken

Documenteer de verwerkingen van persoonsgegevens

Evalueer het geheel van bestaande overeenkomsten binnen de onderneming Wijzig de relevante bepalingen van de overeenkomst

Wijzig de standaardovereenkomsten Rechten en plichten van de verantwoordelijke voor de verwerking

Verplichtingen van de verwerker

Herbekijk de “privacy disclaimers”

Verstrek opleiding aan de relevante medewerkers


Direct marketing

Verwerking van persoonsgegevens(opt-out)

Elektronischepost (soft opt-

in)

Klassiekemiddelen(opt-out)

Telefoon (opt-out)


Direct marketing

Geen wettelijke definitie Definitie reclame in Wetboek Economisch Recht?

Definitie in Aanbeveling CBPL• Ruimer (commercieel en niet-commercieel)

“alle activiteiten die het mogelijk maken om goederen en diensten aan te bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enige daarmee verband houdende dienst”


Direct marketing

Direct marketing Enge zin

• Handeling van het verzenden van de reclameboodschap

Ruime zin• Alle handelingen in de context van het verzenden van de reclameboodschap

• Voorbereidende handelingen

• Opvolging van de verzendingen (b.v. meten effectiviteit)

Transactie volgend op boodschap? Klantenbeheer

Uitvoering contractuele verbintenis


Direct marketing

Toestemming CBPL: positieve handeling Vooraf aangevinkte vakjes?

Noodzaak in het kader van een (pre-contractuele) context Mogelijk, maar eerder beperkt

Legitiem belang CBPL: mogelijk, tenzij toestemming vereist in specifieke wetgeving

• B.v. opt-in voor direct marketing per e-mail

Opsplitsing vereist• Verwerking persoonsgegevens• Verzenden boodschap

Uitdrukkelijk vermeld als gerechtvaardigd belang in Verordening


Bedankt voor uw aandacht. Vragen?


Data, legislation & privacy. Toepassing op CRM

Law