AVG Belangrijke wijzigingen (EUGDPR.org)

Een overzicht van de belangrijkste veranderingen in het kader van AVG en de wijze waarop deze afwijken van de vorige richtlijn

Het doel van de AVG is om alle EU-burgers te beschermen tegen privacy-en gegevens schendingen in een wereld die in toenemende mate een Data-drive heeft die sterk verschilt van de tijd waarin de 1995-richtlijn werd vastgesteld. Hoewel de belangrijkste beginselen van de gegevensbescherming vergelijkbaar zijn aan de vorige richtlijn, zijn er veel wijzigingen voorgesteld ten opzichte van de richtlijn; de belangrijkste punten van de AVG en informatie over de effecten die het zal hebben op het bedrijfsleven kan worden gevonden hieronder.

<strong>Increased Territorial Scope (extra-territorial applicability)</strong>
Misschien wel de grootste verandering in de regelgeving landschap van data privacy wordt geleverd met de uitgebreide jurisdictie van de AVG, zoals het geldt voor alle bedrijven de verwerking van de persoonlijke gegevens van de betrokkenen in de Unie, ongeacht de locatie van het bedrijf. Voorheen was de territoriale toepasbaarheid van de richtlijn dubbelzinnig en werd verwezen naar het gegevens proces "in de context van een vestiging". Dit onderwerp is ontstaan in een aantal high profile rechtszaken. AVG maakt zijn toepasbaarheid zeer duidelijk – het zal van toepassing zijn op de verwerking van persoonsgegevens door controleurs en verwerkers in de EU, ongeacht of de verwerking in de EU plaatsvindt of niet. De AVG zal ook van toepassing zijn op de verwerking van persoonsgegevens van de betrokkenen in de EU door een in de EU gevestigde controleur of verwerker, waar de activiteiten betrekking hebben op: het aanbieden van goederen of diensten aan EU-burgers (ongeacht of de betaling is vereist) en de toezicht op het gedrag dat binnen de EU plaatsvindt. Niet-EU-bedrijven die de gegevens van EU-burgers verwerken, zullen ook een vertegenwoordiger in de EU moeten aanwijzen.

<strong>Penalties</strong>
Onder AVG, organisaties die in strijd handelen met AVG kunnen worden beboet tot 4% van de jaarlijkse wereldwijde omzet of €20.000.000 (afhankelijk van wat groter is). Dit is de maximale boete die kan worden opgelegd voor de meest ernstige overtredingen e. g. niet over voldoende klant toestemming voor het verwerken van gegevens of het schenden van de kern van de privacy door design concepten. Er is een gedifferentieerde benadering van boetes bijvoorbeeld een bedrijf kan een boete van 2% voor het niet hebben van hun administratie in orde (artikel 28), niet op de hoogte van de toezichthoudende autoriteit en de betrokkene over een inbreuk of niet het uitvoeren van effectbeoordeling. Het is belangrijk op te merken dat deze regels van toepassing op zowel de controllers en processors-wat betekent ' wolken ' zal niet worden vrijgesteld van AVG handhaving.

<strong>Consent</strong>
De voorwaarden voor toestemming zijn versterkt, en bedrijven zullen niet langer in staat zijn om lange onleesbare voorwaarden vol Legalese te gebruiken, aangezien het verzoek om toestemming moet worden gegeven in een begrijpelijke en gemakkelijk toegankelijke vorm, met als doel gegevens aan die toestemming is gehecht. De toestemming moet duidelijk en te onderscheiden zijn van andere zaken en in begrijpelijke en gemakkelijk toegankelijke vorm worden verstrekt, met gebruikmaking van heldere en duidelijke taal. Het moet zo gemakkelijk zijn om toestemming te trekken zoals het is om het te geven.

<strong>Data Subject Rights</strong>

<b>Breach Notification</b>

In het kader van de AVG zal de kennisgeving van inbreuken verplicht worden in alle lidstaten waar een inbreuk op de gegevens waarschijnlijk "leidt tot een risico voor de rechten en vrijheden van personen". Dit moet gebeuren binnen 72 uur na de eerste kennis te hebben genomen van de schending. Gegevensverwerkers zullen ook worden verplicht hun klanten, de controleurs, "zonder onnodige vertraging" te verwittigen nadat zij zich eerst bewust zijn geworden van een inbreuk op de gegevens.

<strong>Right to Access</strong>
Een deel van de uitgebreide rechten van de door de AVG geschetste personen is het recht voor de betrokkenen om van de bevestiging van de gegevensbeheerder te verkrijgen of er al dan niet persoonsgegevens over deze gegevens worden verwerkt, waar en voor welk doel. Verder verstrekt de controleur een kopie van de persoonsgegevens, kosteloos, in een elektronische fromat. Deze verandering is een dramatische verschuiving naar gegevens transparantie en empowerment van de betrokkenen.

<strong>Right to be Forgotten</strong>
Ook bekend als het wissen van gegevens, het recht om te vergeten gerechtigt de betrokkenen om de gegevensbeheerder zijn/haar persoonlijke gegevens te wissen, te staken verdere verspreiding van de gegevens, en mogelijk derde partijen halt de verwerking van de gegevens. De voorwaarden voor uitwissing, zoals uiteengezet in artikel 17, omvatten de gegevens die niet meer relevant zijn voor oorspronkelijke doeleinden voor verwerking, of een betrokkene die toestemming intrekt. Ook moet worden opgemerkt dat dit recht controleurs vereist om de onderwerpen ' rechten op "het algemeen belang in de beschikbaarheid van de gegevens" te vergelijken bij het overwegen van dergelijke verzoeken.

Portabiliteit van gegevens
GDPR introduces data portability – the right for a data subject to receive the personal data concerning them, which they have previously provided in a ‘<em>commonly use and machine readable format</em>‘ and have the right to transmit that data to another controller.

Privacy door ontwerp
Privacy by design as a concept has existed for years now, but it is only just becoming part of a legal requirement with the GDPR. At it’s core, privacy by design calls for the inclusion of data protection from the onset of the designing of systems, rather than an addition. More specifically –<em> ‘The controller shall..implement appropriate technical and organisational measures..in an effective way.. in order to meet the requirements of this Regulation and protect the rights of data subjects’.</em> Article 23 calls for controllers to hold and process only the data absolutely necessary for the completion of its duties (data minimisation), as well as limiting the access to personal data to those needing to act out the processing.

Functionarissen voor GegevensBescherming
Momenteel zijn de verantwoordelijken verplicht hun gegevensverwerkingsactiviteiten te melden bij lokale DPA's, die voor multinationals een bureaucratische nachtmerrie kunnen zijn, waarbij de meeste lidstaten verschillende aanmeldingsvereisten hebben. Onder de AVG zal het niet nodig zijn om kennisgevingen/registraties in te dienen bij elke lokale DPA van gegevens verwerkingsactiviteiten, noch zal het een vereiste zijn om te melden/toestemming te verkrijgen voor overdrachten op basis van de model contract clausules (Mcc's). In plaats daarvan, zullen er interne registratie het houden vereisten, zoals verder hieronder worden verklaard, en de FG/DPO benoeming is slechts verplicht voor die controlemechanismen en verwerkers de waarvan kernactiviteiten uit verwerkingsverrichtingen bestaan die regelmatige en systematische de controle van de betrokkenen op grote schaal of van bijzondere categorieën gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en misdrijven. Belangrijk is dat de FG/DPO:

  • Moet worden benoemd op basis van professionele kwaliteiten en met name deskundige kennis over de wetgeving en praktijken inzake gegevensbescherming
  • Mag een personeelslid of een externe dienstverlener zijn
  • De contact gegevens moeten aan de desbetreffende DPA worden verstrekt
  • Moeten beschikken over de nodige middelen om hun taken uit te voeren en hun deskundige kennis te
  • Moet direct rapporteren aan het hoogste management niveau
  • Mogen geen andere taken uitvoeren die kunnen voortvloeien uit een belangenconflict.