Privacyrecht
H1.3 ontwikkeling privacyrecht EU
Richtlijn 95/46/EG privacyrichtlijn: heeft het doel om de persoonlijke
levenssfeer van natuurlijke personen beter te beschermen.
Handvest van de grondrechten EU-Handvest.
Art. 7 bescherming van privacy zelfde reikwijdte als art. 8 EVRM
Art. 8 bescherming persoonsgegevens
Art. 52 lid 1 biedt waarborgen omtrent de mogelijke beperkingen die kunnen
gelden voor de in het EU-Handvest gewaarborgde rechten en beginselen
- Door het verdrag van Lissabon heeft de EU-Handvest rechtskracht
gekregen.
Verdrag betreffende de werking van de Europese Unie VwEU.
- Art. 16 bescherming persoonsgegevens
Uiteindelijk kwam de AVG ipv de privacyrichtlijn. Want:
1. Een richtlijn dient te worden geïmplementeerd in het nationale recht.
2. Een verordening hoeft niet te worden omgezet naar nationale wetgeving,
maar is rechtstreeks van toepassing binnen alle EU-lidstaten.
Opbouw AVG (pag. 32):
1. Algemene bepalingen
2. Beginselen
3. Rechten van de betrokkene
4. Verwerkingsverantwoordelijke en verwerker
5. Doorgiften van persoonsgegevens aan derde landen of internationale
organisaties
6. Onafhankelijke toezichthoudende autoriteiten
7. Samenwerking en coherentie
8. Beroep, aansprakelijkheid en sancties
9. Bepaling in verband met specifieke situaties op het gebied van
gegevensverwerking
10.Gedelegeerde handelingen en uitvoeringshandelingen
11.Slotbepalingen
H1.4 Ontwikkeling privacyrecht Nederland
Wet bescherming persoonsgegevens Wbp:
De Wbp vormde de implementatie van de privacy richtlijn voor Nederland.
Toezichthouder UAVG autoriteit persoonsgegevens (AP)
UAVG ruimte voor nationale implementatie (vervanger Wbp)
Indeling UAVG:
1. Algemene bepalingen
2. Aangewezen toezichthouder: AP
3. Bepalingen over de uitvoering van de AVG
4. Uitzonderingen en beperkingen
H1.5 Privacyrecht en andere grondrechten
Proportionaliteitsbeginsel houdt in dat een breuk op de belangen van de
betrokkene niet onevenredig mag zijn in verhouding tot het verwerkingsdoel.
Subsidiariteitsbeginsel houdt in dat het verwerkingsdoel in redelijkheid niet
op een andere manier kan worden verwezenlijkt die minder impact heeft op de
privacy van betrokkene.
,Bij beperkingen op grondrechten (zoals het privacyrecht) spelen
bovengenoemde beginselen. Art. 8 EVRM.
Bij een botsing van grondrechten en privacyrecht: zoals bescherming
persoonsgegevens en recht op vrijheid van meningsuiting bevat de AVG een
specifieke opdracht (art. 85 AVG) aan de EU-lidstaten om beide rechten in
overeenstemming te brengen.
H2 Basisbegrippen persoonsgegevensbescherming
Persoonsgegevens art. 4 lid 1 AVG:
- Alle informatie over een persoon
- Moet gaan over een idividu;
Inhoud: ziet op informatie die direct op iemand betrekking heeft.
Doel: het gaat erom of de informatie wordt gebruikt om iemand die
beïnvloeden, beoordelen of anderszins op een bepaalde wijze te
behandelen.
Resultaat: het gaat erom of het gebruik van gegevens naar
verwachting gevolgen zal hebben voor iemands belangen of rechten.
- Geïdentificeerd of identificeerbaar
- Natuurlijk persoon
Pseudonieme persoonsgegevens art. 4 lid 5 AVG:
Om persoonsgegevens minder makkelijk herleidbaar te laten zijn, kunnen zij
worden gepseudonimiseerd.
- Gegevens kunnen bijna niet meer aan een specifieke betrokkene worden
gekoppeld.
- Het kan een nuttige beveiligingsmaatregel zijn voor
verwerkingsverantwoordelijke en verwerkers om hun verplichting op het
gebied van gegevensbescherming na te komen. (art. 32 AVG)
Anonieme gegevens:
Zijn gegevens die niet direct of indirect herleidbaar zijn tot een levend persoon.
De gegevens zijn dan geheel niet tot iemand te herleiden.
- Privacyregels zijn niet van toepassing
- Het anonimiseren zelf vormt echter wel een verwerkingshandeling,
hierop zijn de privacyregels wel van toepassing
Van anonimisering is pas sprake als de toegepaste techniek de volgende drie
soorten risico’s uitsluit:
1. Herleidbaarheid, de mogelijkheid om een persoon te individualiseren.
2. Koppelbaarheid, de mogelijkheid om records in verband te brengen met
een persoon.
3. Deduceerbaarheid, de mogelijkheid om persoon gebonden informatie af
te leiden.
Bijzondere persoonsgegevens art. 9 AVG:
- Ras of etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
Medische gegevens: alles op het medisch gebied
Worden twee bijzondere categorieën persoonsgegevens onderscheiden:
1. Genetische gegevens
, - Gegevens die verband houden met overgeërfde of verworven genetische
kenmerken van een natuurlijk persoon.
- Het zijn gegevens die unieke informatie verschaffen over de fysiologie of
gezondheid van die natuurlijke persoon en die met name voortkomen uit
analyse van een biologisch monster van die persoon.
2. Biometrische gegevens
- Persoonsgegevens die het resultaat zijn van een specifieke technische
verwerking met betrekking tot de fysieke, fysiologische of
gedragsgerelateerde kenmerken van een natuurlijk persoon op grond
waarvan eenduidige identificatie mogelijk is van die persoon.
- Zoals: vingerafdrukken, gezichtsafbeeldingen
Gevoelige persoonsgegevens:
- Bijzondere persoonsgegevens
- Strafrechtelijke gegevens (art. 10 AVG/ art. 1 UAVG)
- Nationale identificatienummers (art. 46 UAVG/art. 87 AVG)
- Gegevens die verband houden met huishoudelijke en privéactiviteiten
- Uitoefening van een grondrecht
- Duidelijk gevolgen hebben voor het dagelijks leven van de betrokkene,
zoals financiële gegevens.
Verwerkingsverantwoordelijk:
De verwerkingsverantwoordelijke is de partij die alleen of samen met anderen
het doel van en de middelen voor de verwerking van persoonsgegevens
vaststelt art. 4 sub 7 AVG.
Gezamenlijke verwerkingsverantwoordelijkheid:
Er is meer dan één partij in meer of mindere mate verantwoordelijk voor
dezelfde gegevensverwerking.
Verwerker:
Wanneer een verwerkingsverantwoordelijke een andere partij inschakelt om op
en binnen de instructies van de verwerkingsverantwoordelijke
persoonsgegevens te verwerken.
Sub verwerker:
Verwerkt persoonsgegevens op instructie van de verwerker.
Intern beheer:
Personen die aan het direct gezag van een verwerkingsverantwoordelijke zijn
onderworpen – zoals werknemers – worden als onderdeel van deze
verwerkingsverantwoordelijke gezien en zijn geen aparte
verwerkingsverantwoordelijken of verwerkers.
- Ze vervullen geen aparte privacyrol, geen overeenkomst.
Een ‘derde’ kan GEEN verwerker, verwerkingsverantwoordelijke of betrokkene
zijn.
H1.3 ontwikkeling privacyrecht EU
Richtlijn 95/46/EG privacyrichtlijn: heeft het doel om de persoonlijke
levenssfeer van natuurlijke personen beter te beschermen.
Handvest van de grondrechten EU-Handvest.
Art. 7 bescherming van privacy zelfde reikwijdte als art. 8 EVRM
Art. 8 bescherming persoonsgegevens
Art. 52 lid 1 biedt waarborgen omtrent de mogelijke beperkingen die kunnen
gelden voor de in het EU-Handvest gewaarborgde rechten en beginselen
- Door het verdrag van Lissabon heeft de EU-Handvest rechtskracht
gekregen.
Verdrag betreffende de werking van de Europese Unie VwEU.
- Art. 16 bescherming persoonsgegevens
Uiteindelijk kwam de AVG ipv de privacyrichtlijn. Want:
1. Een richtlijn dient te worden geïmplementeerd in het nationale recht.
2. Een verordening hoeft niet te worden omgezet naar nationale wetgeving,
maar is rechtstreeks van toepassing binnen alle EU-lidstaten.
Opbouw AVG (pag. 32):
1. Algemene bepalingen
2. Beginselen
3. Rechten van de betrokkene
4. Verwerkingsverantwoordelijke en verwerker
5. Doorgiften van persoonsgegevens aan derde landen of internationale
organisaties
6. Onafhankelijke toezichthoudende autoriteiten
7. Samenwerking en coherentie
8. Beroep, aansprakelijkheid en sancties
9. Bepaling in verband met specifieke situaties op het gebied van
gegevensverwerking
10.Gedelegeerde handelingen en uitvoeringshandelingen
11.Slotbepalingen
H1.4 Ontwikkeling privacyrecht Nederland
Wet bescherming persoonsgegevens Wbp:
De Wbp vormde de implementatie van de privacy richtlijn voor Nederland.
Toezichthouder UAVG autoriteit persoonsgegevens (AP)
UAVG ruimte voor nationale implementatie (vervanger Wbp)
Indeling UAVG:
1. Algemene bepalingen
2. Aangewezen toezichthouder: AP
3. Bepalingen over de uitvoering van de AVG
4. Uitzonderingen en beperkingen
H1.5 Privacyrecht en andere grondrechten
Proportionaliteitsbeginsel houdt in dat een breuk op de belangen van de
betrokkene niet onevenredig mag zijn in verhouding tot het verwerkingsdoel.
Subsidiariteitsbeginsel houdt in dat het verwerkingsdoel in redelijkheid niet
op een andere manier kan worden verwezenlijkt die minder impact heeft op de
privacy van betrokkene.
,Bij beperkingen op grondrechten (zoals het privacyrecht) spelen
bovengenoemde beginselen. Art. 8 EVRM.
Bij een botsing van grondrechten en privacyrecht: zoals bescherming
persoonsgegevens en recht op vrijheid van meningsuiting bevat de AVG een
specifieke opdracht (art. 85 AVG) aan de EU-lidstaten om beide rechten in
overeenstemming te brengen.
H2 Basisbegrippen persoonsgegevensbescherming
Persoonsgegevens art. 4 lid 1 AVG:
- Alle informatie over een persoon
- Moet gaan over een idividu;
Inhoud: ziet op informatie die direct op iemand betrekking heeft.
Doel: het gaat erom of de informatie wordt gebruikt om iemand die
beïnvloeden, beoordelen of anderszins op een bepaalde wijze te
behandelen.
Resultaat: het gaat erom of het gebruik van gegevens naar
verwachting gevolgen zal hebben voor iemands belangen of rechten.
- Geïdentificeerd of identificeerbaar
- Natuurlijk persoon
Pseudonieme persoonsgegevens art. 4 lid 5 AVG:
Om persoonsgegevens minder makkelijk herleidbaar te laten zijn, kunnen zij
worden gepseudonimiseerd.
- Gegevens kunnen bijna niet meer aan een specifieke betrokkene worden
gekoppeld.
- Het kan een nuttige beveiligingsmaatregel zijn voor
verwerkingsverantwoordelijke en verwerkers om hun verplichting op het
gebied van gegevensbescherming na te komen. (art. 32 AVG)
Anonieme gegevens:
Zijn gegevens die niet direct of indirect herleidbaar zijn tot een levend persoon.
De gegevens zijn dan geheel niet tot iemand te herleiden.
- Privacyregels zijn niet van toepassing
- Het anonimiseren zelf vormt echter wel een verwerkingshandeling,
hierop zijn de privacyregels wel van toepassing
Van anonimisering is pas sprake als de toegepaste techniek de volgende drie
soorten risico’s uitsluit:
1. Herleidbaarheid, de mogelijkheid om een persoon te individualiseren.
2. Koppelbaarheid, de mogelijkheid om records in verband te brengen met
een persoon.
3. Deduceerbaarheid, de mogelijkheid om persoon gebonden informatie af
te leiden.
Bijzondere persoonsgegevens art. 9 AVG:
- Ras of etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
Medische gegevens: alles op het medisch gebied
Worden twee bijzondere categorieën persoonsgegevens onderscheiden:
1. Genetische gegevens
, - Gegevens die verband houden met overgeërfde of verworven genetische
kenmerken van een natuurlijk persoon.
- Het zijn gegevens die unieke informatie verschaffen over de fysiologie of
gezondheid van die natuurlijke persoon en die met name voortkomen uit
analyse van een biologisch monster van die persoon.
2. Biometrische gegevens
- Persoonsgegevens die het resultaat zijn van een specifieke technische
verwerking met betrekking tot de fysieke, fysiologische of
gedragsgerelateerde kenmerken van een natuurlijk persoon op grond
waarvan eenduidige identificatie mogelijk is van die persoon.
- Zoals: vingerafdrukken, gezichtsafbeeldingen
Gevoelige persoonsgegevens:
- Bijzondere persoonsgegevens
- Strafrechtelijke gegevens (art. 10 AVG/ art. 1 UAVG)
- Nationale identificatienummers (art. 46 UAVG/art. 87 AVG)
- Gegevens die verband houden met huishoudelijke en privéactiviteiten
- Uitoefening van een grondrecht
- Duidelijk gevolgen hebben voor het dagelijks leven van de betrokkene,
zoals financiële gegevens.
Verwerkingsverantwoordelijk:
De verwerkingsverantwoordelijke is de partij die alleen of samen met anderen
het doel van en de middelen voor de verwerking van persoonsgegevens
vaststelt art. 4 sub 7 AVG.
Gezamenlijke verwerkingsverantwoordelijkheid:
Er is meer dan één partij in meer of mindere mate verantwoordelijk voor
dezelfde gegevensverwerking.
Verwerker:
Wanneer een verwerkingsverantwoordelijke een andere partij inschakelt om op
en binnen de instructies van de verwerkingsverantwoordelijke
persoonsgegevens te verwerken.
Sub verwerker:
Verwerkt persoonsgegevens op instructie van de verwerker.
Intern beheer:
Personen die aan het direct gezag van een verwerkingsverantwoordelijke zijn
onderworpen – zoals werknemers – worden als onderdeel van deze
verwerkingsverantwoordelijke gezien en zijn geen aparte
verwerkingsverantwoordelijken of verwerkers.
- Ze vervullen geen aparte privacyrol, geen overeenkomst.
Een ‘derde’ kan GEEN verwerker, verwerkingsverantwoordelijke of betrokkene
zijn.
