Met de nieuwe Europese Verordening 2016/679 staat de verwerking van persoonsgegevens in de Europese Unie voor een “revolutie”.
Uiterlijk 25 mei 2018 zullen bedrijven en vennootschappen zich moeten hebben aangepast aan de nieuwe privacy wet.
Wij geven u hier een korte beschrijving van de hoofdpunten.
Te verstrekken informatie en toestemming voor de verwerking van persoonsgegevens: Huidige toelichting en gerelateerde toestemmingsverzoeken die aan klanten, leveranciers en werknemers, worden voorgelegd, zullen niet meer voldoen aan de nieuwe regelgeving. Deze standaard teksten moeten bijgewerkt worden. De nieuwe wetgeving stelt als vereiste dat aanvullende informatie noodzakelijk is. Zo zal de toelichting informatie moeten geven over de ‘data retention’ periode en hoe een klacht kan worden ingediend bij de toezichthoudende autoriteit (“Garante della privacy”).
Recht op gegevenswissing (“vergetelheid”): dit is een van de meest verstrekkende nieuwe regelingen. Elke burger heeft te allen tijde (om gerechtvaardigde redenen en indien dergelijk verzoek niet in strijd is met andere voorschriften) het recht wissing van de persoonlijke gegevens die hem betreffen te verkrijgen. Ook derden die betrokken zijn bij de verwerking van dergelijke gegevens (mede-eigenaren of externe managers) moeten dan alle gegevens verwijderen. Het zal daarom nodig zijn om een ‘ketting’ van elke individuele behandeling duidelijk te definiëren teneinde alle betrokkenen te verwittigen bij zulks verzoek tot verwijdering. Deze verplichting tot verwijdering van alle persoonlijke gegevens treedt daarbij automatisch in werking bij het verstrijken van de in de toelichting vermelde ‘data retention’ periode (zie hierboven).
Overdraagbaarheid van de gegevens: Elke burger heeft het recht om zijn elektronisch verwerkte gegevens over te dragen naar een andere houder (bijvoorbeeld: door de telefoonprovider te veranderen, zal de oude manager alle klantgegevens naar de nieuwe manager moeten overdragen). De houders moeten hun ICT-systemen dus aanpassen aan dergelijke mogelijkheid.
Nieuwe veiligheidsmaatregelen: de verwerking van persoonsgegevens via elektronische middelen moet worden uitgevoerd met strengere en effectievere beveiliging dan de huidige. De nieuwe verordening legt de verwerker de verplichting onder meer om de gegevens te ” pseudonimiseren”. De ICT-systemen moeten zodanig dynamisch reageren dat een fysiek of technisch voorval geen ongewenste gevolgen brengt. Tegelijkertijd is de verplichting om “minimum” veiligheidsmaatregelen vast te stellen niet meer voorzien, maar moeten de minimumstandaards door elke Verantwoordelijke vast gesteld worden.
Register van de verwerkingsactiviteiten: Elke verwerker zal verplicht zijn om ten minste jaarlijks een register van alle uitgevoerde gegevensverwerkingen op te stellen en bij te werken. In de praktijk: een nieuwe DPS. (Tot nu toe was het volgens de Italiaanse privacywetgeving verplicht om dit document, Documento Pragmatico di Sicurezza, op te stellen. Dit DPS gaf duidelijkheid over de Privacy Policy van het bedrijf.) Deze verplichting zal echter, behalve in bijzondere gevallen, worden beperkt tot organisaties met meer dan 250 werknemers.
Melding van een inbreuk op persoonsgegevens: In geval van inbreuk op persoonsgegevens door een derde, zij het per ongeluk zij het met opzet, moet de verwerker binnen 72 uur na kennisname van dergelijke inbreuk, zowel belanghebbenden als de toezichthoudende autoriteit, op de hoogte brengen van deze inbreuk. Bij gebreke aan mededelingen binnen het termijn, zal de verwerker onderhevig zijn aan sancties.
Gegevensbeschermingseffectbeoordeling: voor bepaalde verwerkingen (op dit moment nog niet gespecificeerd voor welke verwerkingen dit van toepassing is: de toezichthoudende autoriteit zal, voordat de verordening in werking zal treden, de lijst van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is, opstellen) dient de verwerkingsverantwoordelijke een beoordeling te uiten van de gevolgen van de verwerkingsactiviteiten voor persoonsgegevens. Dergelijke beoordeling bevat naast de synthese van de behandeling een passende risicoanalyse en technische en organisatorische tegenmaatregelen ter voorkoming van de gemeende risico’s.
Benoeming van een Functionaris voor gegevensbescherming: indien de verwerker bepaalde vormen van verwerking belast is (voorlopig is er nog geen duidelijke aanwijzing over welke vormen van verwerking hiertoe horen; de toezichthoudende autoriteit zal voor de inwerkingtreding van de verordening hierin duidelijkheid brengen), moet hij samen met de verwerkingsverantwoordelijke een persoon aanwijzen als “Functionaris voor gegevensbescherming”. De identiteitsgegevens van deze Functionaris moeten meegedeeld worden aan de toezichthoudende autoriteit. De functionaris (of “Privacy Officer”) heeft de verplichting om de Reglementen binnen de organisatiestructuur van de Verwerker na te streven.
Naast deze nieuwe verplichtingen brengt de verordening ook een aantal vereenvoudigingen toe aan de huidige wetgeving, zoals hieronder uiteengezet.
Kennisgeving: voor sommige verwerkingen (aangehaald in artikel 37 van D. Lgs. 196/03) is het nu verplicht de toezichthoudende autoriteit in kennis te stellen. Deze verplichting is met de nieuwe verordeningen volledig ingetrokken.
Reactie op verzoeken van de belanghebbende: De huidige wetgeving verplicht de verwerkers te reageren op verzoeken van belanghebbenden, binnen de uiterste termijn van 15 dagen (één maand, in het geval van bewezen technische problemen). De nieuwe verordening voorziet een termijn van een maand (2 maanden in geval van bewezen technische moeilijkheid).
Minimum leeftijd voor het verlenen van toestemming tot verwerking: Vandaag staat de wetgeving niet toe dat minderjarigen hun toestemming geven tot verwerking van hun persoonsgegevens. Tot 18 jaar mogen alleen één ouder of voogd dit doen namens de minderjarige zelf. Met de inwerkingtreding van de EU-verordening wordt de minimumleeftijd voor legitieme toestemming tot behandeling verminderd tot 16 jaar.
Ons kantoor, met behulp van een team van professionals gespecialiseerd in privacy, biedt u tijdige en specifieke hulp aan bij de aanpassing aan het nieuwe privacyrecht.