Data, legislation & privacy Toepassing op CRM Johan Vandendriessche Partner – Crosslaw Gastprofessor ICT-recht – UGent [email protected] www.crosslaw.be
Data, legislation & privacyToepassing op CRM
Johan Vandendriessche
Partner – Crosslaw
Gastprofessor ICT-recht – UGent
www.crosslaw.be
Verordening: stand van zaken
Geüniformeerde regelgeving binnen de EU Goedgekeurd EP op 14 april 2016 Toepassing allicht juni/juli 2018
Toepassingsgebied Materieel
• Verwerking van persoonsgegevens
Territoriaal• Vestiging binnen de EU• Geen vestiging binnen de EU
Administratieve vereenvoudiging? Afschaffing van de aangifteverplichting “One Stop Shop”-mechanisme
Sanctiemechanismen
Brussels - Kortrijk | www.crosslaw.be 2
Verordening: basisfilosofie
Filosofie van de Verordening wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG Responsabilisering
Risico-gebaseerde aanpak
Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders Principe van responsabilisering uitgewerkt in adviezen
Verordening: documentatieplicht en aantoonbare naleving van de Verordening Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader
Brussels - Kortrijk | www.crosslaw.be 3
Verordening: basisfilosofie
Compliance wordt proactieve compliance Aantoonbare naleving van de wettelijke bepalingen
• Data protection officer
• Uitgebreide documentatieplicht en data protection impact assessments
• Meldingsplicht gegevenslekken (“data breach notification”)
In geval van geschil of controle: verantwoordelijke voor de verwerking moet naleving van de Verordening kunnen aantonen• Inbouwen van compliance processen
• Regelmatige controle van processen
• Compliance activiteit is een belangrijke factor bij risico- en aansprakelijkheidsbeperking
Brussels - Kortrijk | www.crosslaw.be 4
Verordening: basisfilosofie
Risico-gebaseerde aanpak Twee stappen: risico en hoog risico
Risicobepaling Waarschijnlijkheid (‘likelihood’) Ernst (‘severity’) Criteria: de aard, omvang, context en de doeleinden van de verwerking Rol van pseudonymisering
Impact: specifieke bepalingen enkel van toepassing in geval van hoog risico Data protection impact assessment Kennisgeving aan betrokkenen bij gegevenslekken Voorafgaande consultatie van toezichthouder bij DPIAs
Brussels - Kortrijk | www.crosslaw.be 5
Toestemming als verwerkingsgrondslag
Wordt toestemming gebruikt als grondslag? Opgelet: striktere toepassing in de Verordening
Louter stilzwijgen is niet langer voldoende• Noodzaak van een duidelijke actieve handeling
• Wel: schriftelijke of mondelinge verklaring, klikken van een vakje, selecteren technische instellingen
• Niet: reeds aangekruiste vakjes, inactiviteit
• Resultaat van compromis
Toestemming per finaliteit
Bewijslast bij verwerkingsverantwoordelijke
Indien schriftelijke verklaring Begrijpelijke, duidelijke en eenvoudige taal
Duidelijk onderscheiden
Brussels - Kortrijk | www.crosslaw.be 6
Toestemming als verwerkingsgrondslag
Geen overgangsmaatregel Toestemming moet voldoen aan nieuwe vereisten
Controleer bestaande toestemmingen indien gebaseerd op mechanisme van impliciete toestemming
Minderjarigen bij diensten van informatiemaatschappij Ten minste 16 jaar (kan naar 13 jaar gebracht worden)
Indien jonger: wettelijke vertegenwoordiger (doorgaans de ouders)
Redelijke inspanning om toestemming van vertegenwoordiger te controleren
Brussels - Kortrijk | www.crosslaw.be 7
Toestemming als verwerkingsgrondslag
Algemeen recht om toestemming in te trekken Geen motivering vereist
Even eenvoudig als het geven van toestemming
Houd rekening met het recht om de toestemming in te trekken Maak een onderscheid tussen de grondslagen op basis van de doeleinden
• Noodzaak voor uitvoering overeenkomst/legitiem belang
• Marketing, profiling,…
Kennisgevingsplicht inzake verwerkingsgrondslagen
Oplossing? Dashboard
Brussels - Kortrijk | www.crosslaw.be 8
Legitiem belang als verwerkingsgrond
Gerechtvaardigd belang Verwerkingsverantwoordelijke Derde
Belangenafweging (‘relevant en passende verhouding’) Belangen en grondrechten van de betrokkene Redelijke verwachtingen betrokkene Specifiek geval: kind
Documentatie van de belangenafweging is noodzakelijk Voorbeelden vermeld in Verordening
Fraudebestrijding Direct marketing Verwerkingen in vennootschapsgroepen (HR en klantenbeheer) Netwerk- en informatiebeveiliging Doorgeven persoonsgegevens in het kader van gerechtelijke onderzoeken
Brussels - Kortrijk | www.crosslaw.be 9
Rechten van de betrokkene
Verruimde informatieplicht Identiteit verwerkingsverantwoordelijke en zijn DPO Verwerkingsdoeleinden en de grondslag De gerechtvaardigde belangen, indien van toepassing (Categorieën) van ontvangers en persoonsgegevens Internationale doorgiften Bewaartermijn Rechten van de betrokkene Bestaan van het recht om de toestemming in te trekken Klachtrecht …
Mogelijkheid om gestandaardiseerde iconen op te leggen
Brussels - Kortrijk | www.crosslaw.be 10
Rechten van de betrokkene
Rechtstreekse vs. onrechtstreekse inzameling
Termijnen Redelijke termijn, uiterlijk 1 maand na verkrijging
Communicatie: uiterlijk het moment van het eerste contact
Mededeling ontvanger: uiterlijk het tijdstip van mededeling
Vrijstelling Reeds gekend
Onmogelijk of onevenredig grote inspanning (mits bijkomende maatregelen)
Verkrijgen of verstrekken vloeit voort uit een wettelijk voorschrift
Beroepsgeheim of statutaire geheimhouding met betrekking tot de persoonsgegevens
Brussels - Kortrijk | www.crosslaw.be 11
Rechten van de betrokkene
Recht op gegevenswissing (‘Recht op vergetelheid’) Wissen van persoonsgegevens
• Niet langer nodig• Intrekking toestemming• Bezwaar• Onrechtmatige verwerking• Wettelijke verplichting• Minderjarige in de context van dienst informatiemaatschappij
Uitzonderingen• Vrije meningsuiting en informatie• Wettelijke verplichting• Algemeen belang op het vlak van volksgezondheid• Archivering• Instellen, uitoefening of onderbouwen van een rechtsvordering
Brussels - Kortrijk | www.crosslaw.be 12
Rechten van de betrokkene
Bij openbaarmaking, redelijke inspanning om uitoefening recht op vergetelheid kenbaar te maken aan derden die de persoonsgegevens verwerken
Niet te verwarren met het recht om vergeten te worden (rechtspraak HvJEU inzake zoekrobotten) Beperkt toepassingsgebied
Eigen toepassingsvoorwaarden
Richtlijnen Artikel 29 Werkgroep
Brussels - Kortrijk | www.crosslaw.be 13
Rechten van de betrokkene
Recht op beperking van de verwerking Verbod op verwerking van persoonsgegevens
• Betwisting van nauwkeurigheid (gedurende periode verificatie)
• Betwisting van de rechtmatigheid met verzet tegen wissen
• Niet langer nodig voor verwerkingsverantwoordelijke, maar wel door betrokkene in het kader van de instelling, uitoefening of onderbouwing van een rechtsvordering
• Uitoefening van een bezwaar, in afwachting van antwoord
Uitzonderingen• Toestemming
• Vaststelling, uitoefening of verdediging van een recht in rechte
• Bescherming van rechten van derden
• Algemeen belang
Opslag blijft steeds mogelijk
Brussels - Kortrijk | www.crosslaw.be 14
Rechten van de betrokkene
Recht op gegevensoverdraagbaarheid Gegevens overhandigd door de betrokkene aan de verantwoordelijke
Verwerking gebaseerd op toestemming of contractuele noodzakelijkheid
Verwerking m.b.v. geautomatiseerde middelen
Hoe Aan de betrokkene in een gestructureerd en algemeen gebruikt machinaal
leesbaar formaat
Overdracht toelaten zonder hinder
Indien technisch mogelijk: rechtstreeks aan nieuwe verwerkingsverantwoordelijke
Bijkomende aanbevelingen van Artikel 29 WP aangekondigd
Brussels - Kortrijk | www.crosslaw.be 15
Rechten van de betrokkene
Automatische besluitvorming (profilering) Automatische verwerking van persoonsgegevens
Evaluatie van persoonlijke kenmerken
Opt-out in verband met maatregelen indien rechtsgevolgen of treffen in aanmerkelijke mate
Uitzonderingen Gewone persoonsgegevens
• Contractuele noodzaak, toegelaten door de wet of uitdrukkelijke toestemming
Gevoelige persoonsgegevens• Noodzaak voor publiek belang of uitdrukkelijke toestemming
Brussels - Kortrijk | www.crosslaw.be 16
Rechten van de betrokkene
Aanvullende bescherming Passende maatregelen ter bescherming van rechten, vrijheden en
gerechtvaardigd belang van de betrokkene
Bijkomende rechten• Recht op menselijke tussenkomst van de verwerkingsverantwoordelijke
• Recht om standpunt kenbaar te maken
• Recht om besluit aan te vechten
Informatieplicht• Bestaan
• Nuttige informatie over de onderliggende logica
• Het belang en de verwachte gevolgen van de verwerking voor de betrokkene
Brussels - Kortrijk | www.crosslaw.be 17
Privacy by Design / Privacy by Default
Privacy by design and by default Passende technische en organisatorische maatregelen
Afweging• Stand van de techniek
• Uitvoeringskosten
• Aard, omvang, context en doel van de verwerking
• Risico’s
Belangrijke afweging bij nieuwe producten/diensten
Technologische implementatie
Richtlijnen Artikel 29 Werkgroep
Brussels - Kortrijk | www.crosslaw.be 18
Functionaris voor gegevensbescherming (DPO)
Verplichte aanstelling Overheidsinstantie of –orgaan
Hoofdzakelijk belast met regelmatige en stelselmatige observatie op grote schaal
Hoofdzakelijk belast met grootschalige verwerking gevoelige gegevens
Wettelijke verplichting
Groepscoördinatie is mogelijk
Rol (intern of extern persoon)
Advies- en contactfunctie
Rechtstreeks communicatiekanaal naar hoogste leidinggevende
Brussels - Kortrijk | www.crosslaw.be 19
Meldingsplicht bij datalekken
Voorbereiding voor eventuele datalekken A priori werkwijze bepalen
Meldingsprocedure uitwerken Meldingsplicht aan de toezichthouder
Zonder vertraging en in elk geval binnen de 72 uur
Indien onmogelijk: motiveringsplicht
Uitzondering: indien geen risico voor de betrokken personen
Meldingsplicht aan de betrokkenen In geval van risico voor de betrokkenen
Vrijstelling mogelijk (b.v. bij encryptie)
Verwerker heeft meldingsplicht ten aanzien van de verantwoordelijke
Brussels - Kortrijk | www.crosslaw.be 20
Enkele praktische zaken
Documenteer de verwerkingen van persoonsgegevens
Evalueer het geheel van bestaande overeenkomsten binnen de onderneming Wijzig de relevante bepalingen van de overeenkomst
Wijzig de standaardovereenkomsten Rechten en plichten van de verantwoordelijke voor de verwerking
Verplichtingen van de verwerker
Herbekijk de “privacy disclaimers”
Verstrek opleiding aan de relevante medewerkers
Brussels - Kortrijk | www.crosslaw.be 21
Direct marketing
Verwerking van persoonsgegevens(opt-out)
Elektronischepost (soft opt-
in)
Klassiekemiddelen(opt-out)
Telefoon (opt-out)
Brussels - Kortrijk | www.crosslaw.be 22
Direct marketing
Geen wettelijke definitie Definitie reclame in Wetboek Economisch Recht?
Definitie in Aanbeveling CBPL• Ruimer (commercieel en niet-commercieel)
“alle activiteiten die het mogelijk maken om goederen en diensten aan te bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enige daarmee verband houdende dienst”
Brussels - Kortrijk | www.crosslaw.be 23
Direct marketing
Direct marketing Enge zin
• Handeling van het verzenden van de reclameboodschap
Ruime zin• Alle handelingen in de context van het verzenden van de reclameboodschap
• Voorbereidende handelingen
• Opvolging van de verzendingen (b.v. meten effectiviteit)
Transactie volgend op boodschap? Klantenbeheer
Uitvoering contractuele verbintenis
Brussels - Kortrijk | www.crosslaw.be 24
Direct marketing
Toestemming CBPL: positieve handeling Vooraf aangevinkte vakjes?
Noodzaak in het kader van een (pre-contractuele) context Mogelijk, maar eerder beperkt
Legitiem belang CBPL: mogelijk, tenzij toestemming vereist in specifieke wetgeving
• B.v. opt-in voor direct marketing per e-mail
Opsplitsing vereist• Verwerking persoonsgegevens• Verzenden boodschap
Uitdrukkelijk vermeld als gerechtvaardigd belang in Verordening
Brussels - Kortrijk | www.crosslaw.be 25
Bedankt voor uw aandacht. Vragen?
Brussels - Kortrijk | www.crosslaw.be 26