Samenvatting Media & handelsrecht
HOOFDSTUK 1: DE WET OP DE PRIVACY
GDPR / AVG
De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
www.gegevensbeschermingsautoriteit.be
Waarom?
- de bescherming van natuurlijke personen i.v.m. de verwerking van persoonsgegevens
-Vrij verkeer van persoonsgegevens
Terminologie
Verwerken: een bewerking of geheel van bewerkingen m.b.t. (geheel van) persoonsgegevens, al dan niet uitgevoerd
via geautomatiseerde procédés
Bestand: Een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria centraal of de centraal
toegankelijk zijn
Persoonsgegevens: Alle informatie m.b.t. geïdentificeerd of direct/indirect identificeerbaar (a.d.h.v.
identificatienummer) natuurlijk persoon
Wat behoort tot gegevensbescherming?
• Je persoonsgegevens
• Je persoonlijke vrijheid (technologie)
• Je digitale reputatie (nieuws op maat, persoonlijke ads)
Terminologie
Principes:
Rechtmatige basis verwerking (bv. wet, legitiem doel, toestemming)
Gerechtvaardigde doeleinden (geen re-use, tenzij toestemming of uitz. (bv. research))
Minimaal (enkel wat nodig is)
Juistheid
Opslagbeperking (bv. patiëntendossier)
Technische maatregelen tegen verlies, vernietiging, beschadiging: WAT???
verwerkingsverantwoordelijke: bepaalt doel/middelen
verwerker: derde bv. softwarefirma, verwerkt ten behoeve van de verwerkingsverantwoordelijke
persoonsgegevens, zonder gezag
bewerker: persoon gemachtigd om gegevens te verwerken, onder gezag verwerkingsverantwoordelijke
Gevoelige gegevens: politiek, seksueel, gezondheid, genetisch.
Verwerking is verboden, maat uitz.:
Toestemming
Wet. Verplichting sociaal recht
Medische diagnose, gezondheidszorg
DPO (Data Protection Officer) = data expert die toezicht houdt op de naleving en implementatie van GDPR binnen
een bedrijf
Overheidsinstanties: Bedrijven die hoofdzakelijk belast zijn met de verwerking van bijzondere categorieën van
gegevens, zoals ras, politieke voorkeur, religieuze overtuigingen of gegevens over strafrechtelijke feiten.
Bedrijven die hoofdzakelijk belast zijn met gegevenverwerkingen die regelmatig en stelselmatige observatie op grote
schaal eisen. En dat zelfs al heb je minder dan 250 werknemers.
,Terminologie
Anonieme geg.: alle gegevens die niet (meer) met een geïdentificeerd of identificeerbaar persoon in verband
kunnen worden gebracht en die dus geen persoonsgegevens (meer) zijn (geen GDPR)
Gepseudonimiseerde geg.: persoonsgegevens die op zodanige wijze verwerkt worden dat ze niet meer aan een
specifieke natuurlijke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits
deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen
om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon
worden gekoppeld.
De wet op de privacy
- Rechtmatigheid, behoorlijkheid en transparantie: steeds een rechtmatige basis nodig voor verwerking
o Ofwel toestemming
o Of een legitiem doel
o Of uitvoering van wettelijke verplichting
o Of noodzaak voor algemeen belang of vitale belangen van betrokkene
- Doelbinding: verwerking gebeurt voor omschreven en gerechtvaardige doeleinden, met verbod voor latere
verwerking (reuse), tenzij dit gebeurt
o Met toestemming
o Binnen uitzonderingsregeling voor wetenschappelijk onderzoek
- Minimale gegevensverwerking: persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot
wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.
- Juistheid: juiste en geactualiseerd, met maatregelen voor correctie of schrapping van fouten.
- Opslagbeperking:
o Identificatie mag niet langer dan nodig voor doeleinde
- Integriteit en vertrouwelijkheid: passende technische en organisatorische maatregelen tegen
o Onrechtmatige verwerking
o Verlies, vernietiging of beschadiging van data
- Passende bescherming is afhankelijk van concrete gevaren en is technisch evolutief
Gegevens beschermen, tenzij:
Voor privé-, gezins-of huishoudelijk gebruik
Ingevolge wet openbaar karakter
o Burgerlijke stand: geboorte/adoptie, huwelijk, overlijden
o Register van hypotheekbewaring
o Kadaster
o Niet de bevolkingsregisters: naam, beroep, woonplaats
Uitzonderingen:
Indien betrokkene zelf openbaar maakt
Journalistieke, artistieke en literaire doeleinden
Rechten van de burger
1. Verbeteren van gegevens (art. 16 AVG)
o Verwerkingsverantwoordelijke verzoeken dat hij zo snel mogelijk de onjuiste persoonsgegevens corrigeert
o verwerkingsverantwoordelijke verzoeken de persoonsgegevens aan te vullen
o onjuiste persoonsgegevens mogen kosteloos verbeterd worden
2. Overdragen van gegevens (art. 20 AVG)
Je mag vragen om je gegevens van de ene naar de andere organisatie over te zetten. De eerste organisatie mag daar
geen bezwaar tegen hebben.
, 3. Inzien van gegevens (art. 15 AVG)
Je mag aan een organisatie op elk moment vragen om de gegevens die ze van je bijhoudt in te kijken. Meer nog: je
mag zelfs een kopie vragen om te kijken of je gegevens wel correct zijn.
4. Wissen van gegevens (art. 17 AVG)
Je mag een organisatie vragen om je uit hun database te schrappen als je geen toestemming meer geeft, wanneer je
gegevens niet langer meer nodig zijn, wanneer je nooit toestemming gaf, wanneer je gegevens verkregen waren
toen je minderjarig was.
5. Beperkte verwerking van gegevens opvragen (art. 18 AVG) Dat kan in drie gevallen:
• Je betwist dat je gegevens correct zijn: De organisatie mag je gegevens niet verwerken tot alles is aangepast.
• Je gegevens zijn onrechtmatig verkregen: Je vraagt om je geg. te behouden, maar beperkt het gebruik ervan.
• De organisatie in kwestie heeft je gegevens niet meer nodig: Je kan wel vragen om ze bij te houden, omdat je
ze nodig hebt voor de vaststelling, uitoefening of verdediging van je rechten voor de rechtbank.
6. Bezwaar tegen verwerking en tegen automatische beslissingen
Je mag vragen om je gegevens niet meer te gebruiken, tenzij er dwingende redenen zijn om dat wel te doen. In het
kader van direct marketing mag de organisatie je niet meer contacteren. In sommige gevallen mag je je ook
verzetten tegen automatische beslissingen. Een organisatie mag geen beslissing nemen over je gezondheid of
financiële situatie als ze alleen je persoonsgegevens heeft.
Plichten van de verwerker
Wanneer uw organisatie persoonsgegevens verwerkt, dient omtrent deze verwerkingsactiviteiten een register
aangelegd te worden. Dit register bevat verplichte gegevens, die door de GDPR worden opgelegd.
Verwerkingsregister opmaken (1x per jaar opmaken):
1. Namen en contactgegevens van verwerkingsverantwoordelijke / verwerkers
2. Verwerkingsdoeleinden
3. Categorieën van persoonsgegevens
Verplichtingen van de verantwoordelijke voor de verwerking:
1. Doelbinding (Finaliteit) en juistheidsbeginsel
2. Integriteits- en vertrouwelijkheidsbeginsel
3. Rechtmatigheid, behoorlijkheid en transparantie
4. Minimale gegevensbewerking (proportionaliteit)
5. Beperkte bewaartermijn
6. Informatieplicht (zie rechten burgers)
7. Verwerkingsovereenkomst
Veiligheid & rapportering
1. Veiligheid: datalek
Oorzaken:
o E-mail verzonden aan een onjuist persoon
o Verkeerd geadresseerde envelop
o Verloren telefoon
Sancties schending GDPR
HOOFDSTUK 1: DE WET OP DE PRIVACY
GDPR / AVG
De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
www.gegevensbeschermingsautoriteit.be
Waarom?
- de bescherming van natuurlijke personen i.v.m. de verwerking van persoonsgegevens
-Vrij verkeer van persoonsgegevens
Terminologie
Verwerken: een bewerking of geheel van bewerkingen m.b.t. (geheel van) persoonsgegevens, al dan niet uitgevoerd
via geautomatiseerde procédés
Bestand: Een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria centraal of de centraal
toegankelijk zijn
Persoonsgegevens: Alle informatie m.b.t. geïdentificeerd of direct/indirect identificeerbaar (a.d.h.v.
identificatienummer) natuurlijk persoon
Wat behoort tot gegevensbescherming?
• Je persoonsgegevens
• Je persoonlijke vrijheid (technologie)
• Je digitale reputatie (nieuws op maat, persoonlijke ads)
Terminologie
Principes:
Rechtmatige basis verwerking (bv. wet, legitiem doel, toestemming)
Gerechtvaardigde doeleinden (geen re-use, tenzij toestemming of uitz. (bv. research))
Minimaal (enkel wat nodig is)
Juistheid
Opslagbeperking (bv. patiëntendossier)
Technische maatregelen tegen verlies, vernietiging, beschadiging: WAT???
verwerkingsverantwoordelijke: bepaalt doel/middelen
verwerker: derde bv. softwarefirma, verwerkt ten behoeve van de verwerkingsverantwoordelijke
persoonsgegevens, zonder gezag
bewerker: persoon gemachtigd om gegevens te verwerken, onder gezag verwerkingsverantwoordelijke
Gevoelige gegevens: politiek, seksueel, gezondheid, genetisch.
Verwerking is verboden, maat uitz.:
Toestemming
Wet. Verplichting sociaal recht
Medische diagnose, gezondheidszorg
DPO (Data Protection Officer) = data expert die toezicht houdt op de naleving en implementatie van GDPR binnen
een bedrijf
Overheidsinstanties: Bedrijven die hoofdzakelijk belast zijn met de verwerking van bijzondere categorieën van
gegevens, zoals ras, politieke voorkeur, religieuze overtuigingen of gegevens over strafrechtelijke feiten.
Bedrijven die hoofdzakelijk belast zijn met gegevenverwerkingen die regelmatig en stelselmatige observatie op grote
schaal eisen. En dat zelfs al heb je minder dan 250 werknemers.
,Terminologie
Anonieme geg.: alle gegevens die niet (meer) met een geïdentificeerd of identificeerbaar persoon in verband
kunnen worden gebracht en die dus geen persoonsgegevens (meer) zijn (geen GDPR)
Gepseudonimiseerde geg.: persoonsgegevens die op zodanige wijze verwerkt worden dat ze niet meer aan een
specifieke natuurlijke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits
deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen
om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon
worden gekoppeld.
De wet op de privacy
- Rechtmatigheid, behoorlijkheid en transparantie: steeds een rechtmatige basis nodig voor verwerking
o Ofwel toestemming
o Of een legitiem doel
o Of uitvoering van wettelijke verplichting
o Of noodzaak voor algemeen belang of vitale belangen van betrokkene
- Doelbinding: verwerking gebeurt voor omschreven en gerechtvaardige doeleinden, met verbod voor latere
verwerking (reuse), tenzij dit gebeurt
o Met toestemming
o Binnen uitzonderingsregeling voor wetenschappelijk onderzoek
- Minimale gegevensverwerking: persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot
wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.
- Juistheid: juiste en geactualiseerd, met maatregelen voor correctie of schrapping van fouten.
- Opslagbeperking:
o Identificatie mag niet langer dan nodig voor doeleinde
- Integriteit en vertrouwelijkheid: passende technische en organisatorische maatregelen tegen
o Onrechtmatige verwerking
o Verlies, vernietiging of beschadiging van data
- Passende bescherming is afhankelijk van concrete gevaren en is technisch evolutief
Gegevens beschermen, tenzij:
Voor privé-, gezins-of huishoudelijk gebruik
Ingevolge wet openbaar karakter
o Burgerlijke stand: geboorte/adoptie, huwelijk, overlijden
o Register van hypotheekbewaring
o Kadaster
o Niet de bevolkingsregisters: naam, beroep, woonplaats
Uitzonderingen:
Indien betrokkene zelf openbaar maakt
Journalistieke, artistieke en literaire doeleinden
Rechten van de burger
1. Verbeteren van gegevens (art. 16 AVG)
o Verwerkingsverantwoordelijke verzoeken dat hij zo snel mogelijk de onjuiste persoonsgegevens corrigeert
o verwerkingsverantwoordelijke verzoeken de persoonsgegevens aan te vullen
o onjuiste persoonsgegevens mogen kosteloos verbeterd worden
2. Overdragen van gegevens (art. 20 AVG)
Je mag vragen om je gegevens van de ene naar de andere organisatie over te zetten. De eerste organisatie mag daar
geen bezwaar tegen hebben.
, 3. Inzien van gegevens (art. 15 AVG)
Je mag aan een organisatie op elk moment vragen om de gegevens die ze van je bijhoudt in te kijken. Meer nog: je
mag zelfs een kopie vragen om te kijken of je gegevens wel correct zijn.
4. Wissen van gegevens (art. 17 AVG)
Je mag een organisatie vragen om je uit hun database te schrappen als je geen toestemming meer geeft, wanneer je
gegevens niet langer meer nodig zijn, wanneer je nooit toestemming gaf, wanneer je gegevens verkregen waren
toen je minderjarig was.
5. Beperkte verwerking van gegevens opvragen (art. 18 AVG) Dat kan in drie gevallen:
• Je betwist dat je gegevens correct zijn: De organisatie mag je gegevens niet verwerken tot alles is aangepast.
• Je gegevens zijn onrechtmatig verkregen: Je vraagt om je geg. te behouden, maar beperkt het gebruik ervan.
• De organisatie in kwestie heeft je gegevens niet meer nodig: Je kan wel vragen om ze bij te houden, omdat je
ze nodig hebt voor de vaststelling, uitoefening of verdediging van je rechten voor de rechtbank.
6. Bezwaar tegen verwerking en tegen automatische beslissingen
Je mag vragen om je gegevens niet meer te gebruiken, tenzij er dwingende redenen zijn om dat wel te doen. In het
kader van direct marketing mag de organisatie je niet meer contacteren. In sommige gevallen mag je je ook
verzetten tegen automatische beslissingen. Een organisatie mag geen beslissing nemen over je gezondheid of
financiële situatie als ze alleen je persoonsgegevens heeft.
Plichten van de verwerker
Wanneer uw organisatie persoonsgegevens verwerkt, dient omtrent deze verwerkingsactiviteiten een register
aangelegd te worden. Dit register bevat verplichte gegevens, die door de GDPR worden opgelegd.
Verwerkingsregister opmaken (1x per jaar opmaken):
1. Namen en contactgegevens van verwerkingsverantwoordelijke / verwerkers
2. Verwerkingsdoeleinden
3. Categorieën van persoonsgegevens
Verplichtingen van de verantwoordelijke voor de verwerking:
1. Doelbinding (Finaliteit) en juistheidsbeginsel
2. Integriteits- en vertrouwelijkheidsbeginsel
3. Rechtmatigheid, behoorlijkheid en transparantie
4. Minimale gegevensbewerking (proportionaliteit)
5. Beperkte bewaartermijn
6. Informatieplicht (zie rechten burgers)
7. Verwerkingsovereenkomst
Veiligheid & rapportering
1. Veiligheid: datalek
Oorzaken:
o E-mail verzonden aan een onjuist persoon
o Verkeerd geadresseerde envelop
o Verloren telefoon
Sancties schending GDPR
