Belgische wet voert GDPR uit

dinsdag 11/09/2018

Het Staatsblad van 5 september publiceerde de langverwachte ‘GDPR-wet’: een nationale wet die de Algemene Verordening Gegevensbescherming of GDPR uitvoert, verduidelijkt en verder concretiseert. De nieuwe regels zijn onmiddellijk van toepassing en gelden als aanvulling op de GDPR die sinds 25 mei van kracht is.

Deze bepalingen zijn relevant voor onze sector:

 

1. toestemmingsleeftijd jongeren van 16 naar 13 jaar

Voortaan  kunnen jongeren al vanaf de leeftijd van 13 jaar zelf geldig toestemming geven voor de verwerking van hun persoonsgegevens in het kader van commerciële internetdiensten. Dat wil zeggen dat zij dus zonder tussenkomst van hun ouders of voogd gebruik kunnen maken van apps, social media, gaming platformen... Wil je persoonsgegevens van jongeren voor andere doeleinden verwerken, bv. in het kader van lidmaatschap of omdat ze zich opgeven als deelnemer? Dan heb je in principe nog altijd de toestemming van ouder of voogd nodig zolang de jongere -18 jaar is. Vragen hierover? Scwitch zoekt het graag voor je uit.

Je organisatie kan niet-leerplichtige minderjarigen uiteraard ook met een gerust hart blijven inzetten als student of vrijwilliger.  De jongere kan dit engagement immers zelf aangaan en zelf rechtsgeldig een contract ondertekenen zolang zijn ouder of voogd zich niet verzet.  Een stilzwijgende toestemming van de wettelijke vertegenwoordiger volstaat hier dus.  De verwerking van persoonsgegevens die daarbij komt kijken, kun je meestal rechtvaardigen op basis van je contractuele en wettelijke verplichtingen of op basis van je gerechtvaardigd belang. Heb je in dit kader toch toestemming nodig als wettelijke basis voor de verwerking, bv. om foto’s te verwerken? Dan is het wellicht verdedigbaar dat de jongere deze ook zelf kan geven als zijn ouders zich niet verzetten.  De toestemming moet uiteraard wel aan alle gdpr-vereisten voldoen en moet dus vrij, actief, specifiek en geïnformeerd zijn.

 

2. verwerking gevoelige gegevens verduidelijkt

De GDPR-wet schept meer duidelijkheid over de verwerking van gevoelige gegevens, die alleen toegelaten is in bepaalde gevallen en op bepaalde voorwaarden:

  • de wet bepaalt bijkomende voorwaarden, bovenop de GDPR-voorwaarden, om biometrische, genetische en gezondheidsgegevens te verwerken. Vragen hierover? Scwitch zoekt het graag voor je uit.
  • De wet maakt geen gebruik van de mogelijkheid om op het vlak van arbeidsrecht bijkomende uitzonderingen te bepalen op het verwerkingsverbod voor deze gevoelige gegevens. Daarom blijft het voor Belgische werkgevers moeilijk om gebruik te maken van biometrische gegevens zoals irisscan of vingerafdruk in het kader van toegangscontroles of tijdsregistratie.
  • de wet verduidelijkt dat bepaalde organisaties uit onze sector, zoals mensenrechtenorganisaties en organisaties die werken rond seksuele mishandeling en uitbuiting gevoelige gegevens kunnen verwerken wanneer dat noodzakelijk is voor de verwezenlijking van hun statutaire doelstelling als aan bepaalde voorwaarden voldaan is. Dit wordt aanvaard als ‘redenen van zwaarwegend algemeen belang’. Vragen hierover? Scwitch zoekt het graag voor je uit.
  • de wet bepaalt dat het voortaan op bepaalde voorwaarden toegelaten is om strafrechtelijke gegevens te verwerken in onder andere volgende gevallen:
    • wanneer het noodzakelijk is met het oog op historisch, wetenschappelijk of statistisch onderzoek, of met het oog op archivering
    • wanneer het noodzakelijk is met het oog op het beheer van eigen geschillen. Bv. een pv opgemaakt nadat je een werknemer op heterdaad betrapte op diefstal, dat je als bewijs bewaart zolang de werknemer zijn ontslag om dringende reden nog kan betwisten.
    • wanneer de betrokkene deze gegevens zelf openbaar gemaakt heeft met het oog op een bepaalde doelstelling.
    • wanneer het noodzakelijk is om redenen van zwaarwegend algemeen belang voor het vervullen van taken van algemeen belang die bij wet zijn vastgesteld
    • op basis van de toestemming van betrokkene. Hoewel niet bruikbaar ten aanzien van werknemers, kan dit wel een wettelijke basis vormen ten aanzien van freelancers.

 

Sociare onderzoekt nog in welke mate deze verduidelijking voor organisaties uit onze sector mogelijkheden biedt. Vandaag kunnen organisaties werknemers en vrijwilligers immers vragen om een attest goed gedrag en zeden voor te leggen, maar is er geen wettelijke basis om deze ook te bewaren, verder te verwerken of er notities over bij te houden. We houden je verder op de hoogte.

 3. vrijstelling van verplichtingen voor specifieke verwerkingsactiviteiten

De wet bepaalt uitzonderingen op bepaalde GDPR-verplichtingen voor specifieke verwerkingsactiviteiten, zoals:

  • verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke en/of literaire uitdrukkingsvormen
  • verwerking voor historische, statistische of wetenschappelijke doeleinden

Dit moet voorkomen dat de privacyreglementering deze doelstellingen belemmert of onmogelijk maakt. Vragen hierover? Scwitch zoekt het graag voor je uit.

 4. verplichte aanstelling van een DPO

De wet voegt aan de GDPR twee extra situaties toe waarinde aanstelling van een functionaris voor gegevensbescherming of DPO verplicht is:
  • je organisatie doet verwerkingen voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden
  • Je organisatie verwerkt persoonsgegevens voor rekening van een federale overheid of een federale overheid geeft persoonsgegevens door aan je organisatie. Ook organisaties met toegang tot een federale databank vallen hier dus onder.

De aanstelling van een DPO is in deze gevallen weliswaar alleen verplicht als de verwerking een hoog risico kan inhouden. Een gegevensbeschermingseffectenbeoordeling moet uitwijzen of aan die voorwaarde voldaan is.

Naast deze gevallen, blijft de aanstelling van een DPO ook verplicht in de situaties die de GDPR bepaalt:

  • Je organisatie is hoofdzakelijk belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (wegens aard, omvang en doeleinden)
  • Je verwerkt op grote schaal bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religie, medische of strafrechtelijke gegevens
  • Je organisatie is een overheidsinstantie of een overheidsorgaan

De GDPR-wet definieert het begrip ‘overheid’. Sociare en Scwitch onderzoeken samen met unisoc en de sectorfederaties de impact hiervan op onze sector en hoe onze sector zich hierin moet opstellen. Zodra er meer duidelijkheid is, hoor je het van ons.

5. opdracht van overheids- en inspectiediensten

De wet bevestigt ten slotte dat overheids- en inspectiediensten hun opdracht moeten kunnen uitvoeren en in dat kader persoonsgegevens kunnen opvragen en verwerken, voor zover zij daar een wettelijke basis voor hebben en zich houden aan het wettelijk kader voor gegevensbescherming. Zo kun je je als werkgever dus niet op het privacyrecht van je werknemers beroepen wanneer de inspectie een wettelijke basis heeft om persoonsgegevens van je personeel op te vragen waarover jij als werkgever beschikt.

 

Bron:Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, Staatsblad 5 september 2018.