De ministers van Justitie van de Europese lidstaten zijn het afgelopen week eens geworden over het voorstel van de Commissie voor de Algemene verordening gegevensbescherming. De volgende stap is dat het Europees Parlement de conceptverordening goedkeurt danwel aanpast. De onderhandelingen hierover gaan vandaag van start. De verwachting is dat er voor het einde van 2015 een definitief akkoord wordt bereikt.
De Algemene verordening gegevensbescherming heeft als doelstelling de grondrechten en fundamentele vrijheden van natuurlijke personen te beschermen. Het betreft met name het recht van personen op de bescherming van persoonsgegevens. De verordening, zoals die er nu als voorstel ligt, zal de bestaande Europese Richtlijn 95/46/EG aanvullen, aanscherpen en op sommige punten ook vernieuwen. Hiermee beoogt de Commissie burgers, bedrijven en overheden meer rechtszekerheid te bieden. De Commissie verwacht dat bedrijven rond 2,3 miljard euro zullen besparen door een vermindering van de administratieve lasten.
De verordening zal direct en voor alle 28 lidstaten van de EU gelden. De verordening hoeft dus niet eerst in nationale regelgeving omgezet te worden.
Wanneer de verordening in werking treedt, zal deze ook gelden voor alle ondernemingen die diensten in de Europese Unie aanbieden. Dus ook bedrijven als Facebook en Google zullen zich aan de regels moeten houden. Ook al hebben ze hun servers in de Verenigde Staten staan.
In de conceptverordening is bepaald dat alleen dan persoonsgegevens mogen worden verwerkt wanneer de betrokkene daarvoor toestemming heeft gegeven (zie artikel 6 en 7).
Burgers krijgen bovendien het recht om “vergeten te worden”. Dit betekent concreet dat ze van degene die voor de openbaarmaking van de persoonsgegevens verantwoordelijk is mogen eisen, dat deze de betreffende gegevens wist. Ook moet de verantwoordelijke derden op de hoogte stellen van het verzoek de persoonsgegevens te wissen om iedere koppeling naar en kopie of reproductie van de persoonsgegevens te wissen.
Daarnaast past de conceptverordening de begrippen ‘privacy by design’ en ‘privacy by default’ toe op bescherming van persoonsgegevens (zie artikel 23). Overheden moeten dus technische en organisatorische maatregelen nemen om ervoor te zorgen dat de Verordening bij de verwerking van gegevens wordt nageleefd en dat de bescherming van de rechten van de betrokkenen gewaarborgd wordt.
Als het aan de Europese Commissie ligt, moeten er in alle lidstaten toezichthoudende autoriteiten komen. Volgens het voorstel zullen deze instanties straks ook bevoegd zijn om administratieve sancties op te leggen als de verordening wordt geschonden. In het geval van bedrijven kan de sanctie oplopen tot 1 procent van hun jaarlijkse wereldwijde omzet (artikel 78-79).
Tot slot zal ook iedere persoon, die schade heeft geleden als gevolg van een onrechtmatige verwerking van persoonsgegevens of een handeling die strijdig is met de verordening, een recht op schadevergoeding hebben jegens de verantwoordelijke resp. gegevensverwerker (zie art. 77).
De privacyregelgeving in Duitsland is nu al behoorlijk streng. Zo moet in Duitsland iedere website, waarop persoonsgegevens worden verzameld, een privacyverklaring bevatten. In de privacyverklaring dient vastgelegd te zijn, welke gegevens er precies worden verzameld. Bovendien moeten de duur en het doel van de gegevensverzameling worden aangegeven. Worden er gegevens verzameld zonder dat er hiervoor een wettelijke basis bestaat, dan dient de betroffene hiervoor uitdrukkelijk toestemming te verlenen.
Dit geldt in het bijzonder voor het verzamelen van persoonsgegevens in het kader van een webshop. E-commerce en het vaak daarmee gepaard gaande gebruik van sociale media voor commerciële doeleinden zijn derhalve al lang in het vizier van de Duitse toezichthoudende autoriteiten en rechtbanken gekomen. In Duitsland kan het niet-naleven van de Duitse privacywetgeving onder omstandigheden een strafbaar feit zijn en bovendien tot een aanmaning door medeconcurrenten leiden; met alle kosten van dien. De kosten voor de aanmaning kan de medeconcurrent immers bij de webshop in rekening brengen die in overtreding is. Overigens gelden deze regels ook voor buitenlandse webshops, die zich op Duitse klanten richten.
Wilt u meer weten over het belang van een privacyverklaring voor uw website of voor uw webshop? Klik dan hier
Graag kunt u ook contact opnemen met onze Nederlandstalige advocaten.
Tweet