Nieuw privacywet vanaf 25 mei
Vanaf 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze Europese privacywet vervangt de privacyrichtlijn uit 1995. De grootste verandering is dat er allerlei administratieve (compliance) verplichtingen op bedrijven en instellingen komen te rusten. Wat er wel/niet met persoonsgegevens mag gebeuren blijft in grote lijnen gelijk.
Recht op vergetelheid
In artikel 17 AVG is het recht op "vergetelheid" opgenomen. Het bundelt in feite bestaande mogelijkheden om gegevens te laten verwijderen.
Het artikel luidt als volgt:
1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
d) de persoonsgegevens zijn onrechtmatig verwerkt;
e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.
Weinig nieuws onder de zon
Dit recht om vergeten te worden is niks nieuws onder de zon. Het bouwt gewoon voort op bestaande regels. Alleen voor diensten aan een kind voegt de AVG, wellicht, iets nieuws toe.
Het recht kan immers worden ingeroepen als
- de gegevens niet langer nodig zijn (bestaand recht, 'Google Spain'-arrest);
- de toestemming is ingetrokken (bestaand recht, zie artikel 5 lid 2 Wbp)
- het recht van verzet wordt ingeroepen (bestaand recht, zie artikel 40/41 Wbp);
- de verwerking onrechtmatig is (bestaand recht, 'Google Spain'-arrest);
- er een wettelijke plicht tot wissing bestaat (bestaand recht, want kennelijk is langer verwerken onrechtmatig, zie overigens vorige bullet);
- gegevens zijn verzameld bij online diensten aan een kind (die is nieuw!).
Overigens is de vraag of het belang van een kind onder huidig recht bij het inroepen van het recht van verzet niet ook altijd zal prevaleren. Zo nieuw is de laatste bullet dus mogelijk ook niet.
Informeren derden ook niet nieuw
Verder moet bij het verwijderen van gegevens de opvolgend ontvanger ook daarover worden geïnformeerd. Dat is echter ook niets nieuws, zie artikel 38 Wbp en o.a. het Rijkeboer-arrest.
Geen data meer verkopen?
Verder staat in het interview dat bedrijven gegevens alleen nog op basis van toestemming zouden mogen verkopen. Dit staat niet in de AVG. In de AVG staat zelfs dat, net als onder de Wbp, het belang van een derde een gerechtvaardigd belang kan zijn voor de verwerking van persoonsgegevens (ov. 47). In overweging 48 komt zelfs expliciet aan de orde dat binnen een concern gegevens mogen worden gedeeld.
Onder huidig en toekomstig recht is bij het "verkopen" van data veeleer de vraag of doelbinding en transparantie daar niet aan in de weg staan.
Iedere klant behandelen?
Wolfsen merkt ook op dat iedere klacht van consumenten door de AP behandeld zal gaan worden. Dat klinkt ambitieus. Ik ben erg benieuwd naar de praktijk....
Bent u al klaar voor de AVG?
Heeft u advies nodig over de AVG? Neem dan contact op met mij of een van de andere advocaten uit ons privacyteam.