Onderneming & Privacy – kennisclips
(week 1)
Kennisclip 1- Privacy(recht) in het algemeen en het ontstaan van het
gegevensbeschermingsrecht
Privacy(recht) algemeen
- Privacy: persoonlijke levenssfeer, is niet hetzelfde als gegevensbeschermingsrecht.
- Oud grondrecht vastgelegd in Verdragen en de Nederlandse Grondwet
- Art. 8 EVRM begrip privéleven
Ontstaan gegevensbeschermingsrecht
- Toename internationale belangstelling bescherming persoonsgegevens. Met name door
technologische ontwikkelingen.
- Raad van Europa art. 8 EVRM (opgesteld voor het Verdrag van Straatsburg)
- Verdrag van Straatsburg: het allereerste verdrag waarin regels zijn gesteld voor
verschillende landen dat betrekking heeft op het beschermen van persoonsgegevens. Het is
een basis geweest van latere gegevensbeschermingsregels. Onderwerpen die toen al zijn
geregeld in het verdrag:
- Wanneer is sprake van het verwerken van persoonsgegevens?
- Welke beginselen moeten in acht worden genomen bij de verwerking daarvan?
- Welke categorieën van persoonsgegevens, ten aanzien waarvan mag er geen
verwerking plaatsvinden (bv. medische gegevens, strafrechtelijke gegevens).
- Uitzonderingen
- Sancties en rechtsmiddelen wanneer het verdrag werd overtreden.
- Jurisprudentie EHRM, werd vaak verwezen naar het Verdrag van Straatsburg. Het Hof heeft
destijds in haar jurisprudentie het gegevensbeschermingsrecht ook uitgelegd.
- Huidige betekenis Verdrag en art. 8 EVRM Inmiddels is het Verdrag op de achtergrond
geraakt omdat er veel EU-wetgeving in stand is gebracht, met de komst van de EU en de
gemeenschappelijke markt zijn er in korte tijd binnen de EU veel richtlijnen en
verordeningen uitgevaardigd. Het EHRM is nog steeds bezig met zaken die gaan over het
gegevensbeschermingsrecht in het kader van art. 8 EVRM, het heeft nog steeds een
zelfstandige betekenis. Dit artikel is de basis geweest voor de totstandbrenging van
specifieke regelgeving van gegevensbeschermingsrecht.
Kennisclip 2 – De ontwikkeling van het gegevensbeschermingsrecht in Europa (EU)
Europese gemeenschappen en pijlerstructuur
- Europese Gemeenschappen
- 1992 Europese Gemeenschap (EG) drie pijlers:
1. Europese Gemeenschap (interne markt)
2. Gemeenschappelijk buitenlands- en veiligheidsbeleid
3. Politiële en justitiële samenwerking
- Verdrag van Lissabon 2009 naast EU-verdrag VWEU-verdrag + opheffen pijlerstructuur
Ontwikkeling EU-gegevensbeschermingsrecht
,- Richtlijn over het vrije verkeer van persoonsgegevens, richtlijn 95/46.
- Moest binnen drie jaar in de nationale wetgeving omgezet zijn.
- Achtergrond van de richtlijn is nog steeds het realiseren van de interne markt
- De totstandbrenging van de richtlijn is gebaseerd op art. 95 EG-verdrag. Dat is een
algemene bepaling die de bevoegdheid gaf aan de EU-wetgever om ten aanzien van
het realiseren van de interne markt nadere regels te stellen.
- Art 29 groep: was destijds een adviesorgaan van de Europese Commissie.
- Verordening 45/2001 en oprichting EDPS. EDPS zag toe op naleven van de verordening en
kon ook in dat kader bindende besluiten nemen. En naast een controlefunctie hadden ze ook
een adviesfunctie richting de Europese Commissie over bepaalde wetsvoorstellen.
- Verdrag van Lissabon (2009) en art. 16 VWEU
- Eerste autonome rechtsgrondslag voor EU-gegevensbeschermingsrecht
- Subjectief recht op gegevensbescherming
- Geplaatst in VWEU naast andere fundamentele rechten
- Expliciete opdracht aan EU-wetgever om nadere regels vast te stellen.
- Art. 16 VWEU is de grondslag voor onze AVG
- Noodzaak tot herziening gegevensbeschermingsrecht komst van de AVG (2016)
AVG en verschil met richtlijn 95/46
- Wetgevingsinstrument het was eerst een richtlijn nu een verordening. Een verordening
is verbindend in al haar onderdelen en rechtstreeks toepasselijk in de lidstaten. Bij de
richtlijn was er meer ruimte voor de lidstaten.
- Ruimte voor nationale wetgeving
- Regels samenwerking toezichthouders
- Oprichting Europees Comité voor gegevensbescherming (door AVG, vervangt art. 29 groep
van de richtlijn)
- Uitbreiding territoriale toepassingsgebied daarmee sneller van toepassing dan de
richtlijn.
- Versterking rechten en positie betrokkenen bijvoorbeeld zwaardere eisen aan de
grondslag van toestemming.
- Uitbreiding verplichtingen verwerkingsverantwoordelijke
NB. 1
Gegevensbescherming m.b.t. de telecommunicatiesector (denk aan cookiewetgeving) niet in
AVG. Aparte regels in:
- e-privacyrichtlijn;
- straks de e-privacyverordening.
NB. 2
Gegevensbescherming en de voormalige derde pijler van de EG: politiële en justitiële
samenwerking. Aparte regels in:
- Kaderbesluit 2008/977;
- Nu in richtlijn 2016/680.
, Kennisclip 3 – De ontwikkeling van het gegevensbeschermingsrecht in Nederland + het
belang voor ondernemers
Ontwikkeling gegevensbeschermingsrecht in Nederland
- 1988: Wet persoonsregistraties
- 2001: Wet bescherming persoonsgegevens
- De AVG en Uitvoeringswet AVG
De AVG heeft nog steeds richtlijn-achtige trekken. Wat wordt daar mee bedoeld? De
verordening laat op bepaalde onderdelen nog ruimte voor nationale wetgevers om daar zelf
bepaalde keuzes in te maken en zelf bepaalde wetgeving in stand te brengen. Daarom
kennen we in Nederland ook de Uitvoeringswet AVG.
- Nationaal recht vs. verordening
- HvJ EG 15 juli 1964 Costa/E.N.E.L. Ecli:EU:1964:66
- Prejudiciële vragen: art. 267 VWEU
Open normen AVG
- Open normen heeft ook te maken met het bijzondere karakter van de AVG. Op veel
onderdelen is geprobeerd om het techniek neutraal te formuleren en zijn er dus veel open
normen die dus nog nader moeten worden ingevuld.
- Bij de invulling van die open normen kunnen heel veel actoren een rol spelen (bijv.
Europese wetgever, nationale wetgevers, EDPB).
- EDPB: samenwerking tussen alle nationale toezichthouders en de Europese
toezichthouders. Dit comité zal een belangrijke rol gaan spelen bij het invullen van de open
normen, zij zullen gezamenlijk richtlijnen uitvaardigen, aanbevelingen doen etc. =
pseudowetgeving, het is juridisch niet bindend maar in de praktijk zal het wel invloedrijk zijn
(soft law).
- Uiteindelijk is het HvJ degene die daadwerkelijk bepaald hoe de open normen ingevuld
moeten worden.
- De jurisprudentie is erg belangrijk bij de invulling van de open normen.
Complexiteit gegevensbeschermingsrecht
- Technologische complexiteit: de AVG is zoveel mogelijk technisch neutraal geformuleerd,
maar daarbij zijn er veel vage normen en open normen.
- Juridische complexiteit: het kent heel veel nationale en Europese rechtsbronnen, er zijn
heel veel regelingen die elkaar hebben opgevolgd en nu ook nog naast elkaar bestaan. Er zijn
heel veel actoren betrokken bij de invulling en interpretatie van de AVG, maakt het ook
juridisch gezien complex.
- Maatschappelijke complexiteit: vaak tegenstrijdige belangen door verschillende actoren.
Bedrijven willen weinig regels, burgers willen recht op bescherming.
- Privacyparadox: wanneer iemand zegt dat hij privacy belangrijk vindt maar hij er eigenlijk
niet of nauwelijks naar handelt.
Belang voor ondernemers
- Boetes (max 4% van de wereldwijde jaaromzet, max 20 miljoen)
- Gebruikmaken van mogelijkheden
- Image, betekenisvol ondernemen
(week 1)
Kennisclip 1- Privacy(recht) in het algemeen en het ontstaan van het
gegevensbeschermingsrecht
Privacy(recht) algemeen
- Privacy: persoonlijke levenssfeer, is niet hetzelfde als gegevensbeschermingsrecht.
- Oud grondrecht vastgelegd in Verdragen en de Nederlandse Grondwet
- Art. 8 EVRM begrip privéleven
Ontstaan gegevensbeschermingsrecht
- Toename internationale belangstelling bescherming persoonsgegevens. Met name door
technologische ontwikkelingen.
- Raad van Europa art. 8 EVRM (opgesteld voor het Verdrag van Straatsburg)
- Verdrag van Straatsburg: het allereerste verdrag waarin regels zijn gesteld voor
verschillende landen dat betrekking heeft op het beschermen van persoonsgegevens. Het is
een basis geweest van latere gegevensbeschermingsregels. Onderwerpen die toen al zijn
geregeld in het verdrag:
- Wanneer is sprake van het verwerken van persoonsgegevens?
- Welke beginselen moeten in acht worden genomen bij de verwerking daarvan?
- Welke categorieën van persoonsgegevens, ten aanzien waarvan mag er geen
verwerking plaatsvinden (bv. medische gegevens, strafrechtelijke gegevens).
- Uitzonderingen
- Sancties en rechtsmiddelen wanneer het verdrag werd overtreden.
- Jurisprudentie EHRM, werd vaak verwezen naar het Verdrag van Straatsburg. Het Hof heeft
destijds in haar jurisprudentie het gegevensbeschermingsrecht ook uitgelegd.
- Huidige betekenis Verdrag en art. 8 EVRM Inmiddels is het Verdrag op de achtergrond
geraakt omdat er veel EU-wetgeving in stand is gebracht, met de komst van de EU en de
gemeenschappelijke markt zijn er in korte tijd binnen de EU veel richtlijnen en
verordeningen uitgevaardigd. Het EHRM is nog steeds bezig met zaken die gaan over het
gegevensbeschermingsrecht in het kader van art. 8 EVRM, het heeft nog steeds een
zelfstandige betekenis. Dit artikel is de basis geweest voor de totstandbrenging van
specifieke regelgeving van gegevensbeschermingsrecht.
Kennisclip 2 – De ontwikkeling van het gegevensbeschermingsrecht in Europa (EU)
Europese gemeenschappen en pijlerstructuur
- Europese Gemeenschappen
- 1992 Europese Gemeenschap (EG) drie pijlers:
1. Europese Gemeenschap (interne markt)
2. Gemeenschappelijk buitenlands- en veiligheidsbeleid
3. Politiële en justitiële samenwerking
- Verdrag van Lissabon 2009 naast EU-verdrag VWEU-verdrag + opheffen pijlerstructuur
Ontwikkeling EU-gegevensbeschermingsrecht
,- Richtlijn over het vrije verkeer van persoonsgegevens, richtlijn 95/46.
- Moest binnen drie jaar in de nationale wetgeving omgezet zijn.
- Achtergrond van de richtlijn is nog steeds het realiseren van de interne markt
- De totstandbrenging van de richtlijn is gebaseerd op art. 95 EG-verdrag. Dat is een
algemene bepaling die de bevoegdheid gaf aan de EU-wetgever om ten aanzien van
het realiseren van de interne markt nadere regels te stellen.
- Art 29 groep: was destijds een adviesorgaan van de Europese Commissie.
- Verordening 45/2001 en oprichting EDPS. EDPS zag toe op naleven van de verordening en
kon ook in dat kader bindende besluiten nemen. En naast een controlefunctie hadden ze ook
een adviesfunctie richting de Europese Commissie over bepaalde wetsvoorstellen.
- Verdrag van Lissabon (2009) en art. 16 VWEU
- Eerste autonome rechtsgrondslag voor EU-gegevensbeschermingsrecht
- Subjectief recht op gegevensbescherming
- Geplaatst in VWEU naast andere fundamentele rechten
- Expliciete opdracht aan EU-wetgever om nadere regels vast te stellen.
- Art. 16 VWEU is de grondslag voor onze AVG
- Noodzaak tot herziening gegevensbeschermingsrecht komst van de AVG (2016)
AVG en verschil met richtlijn 95/46
- Wetgevingsinstrument het was eerst een richtlijn nu een verordening. Een verordening
is verbindend in al haar onderdelen en rechtstreeks toepasselijk in de lidstaten. Bij de
richtlijn was er meer ruimte voor de lidstaten.
- Ruimte voor nationale wetgeving
- Regels samenwerking toezichthouders
- Oprichting Europees Comité voor gegevensbescherming (door AVG, vervangt art. 29 groep
van de richtlijn)
- Uitbreiding territoriale toepassingsgebied daarmee sneller van toepassing dan de
richtlijn.
- Versterking rechten en positie betrokkenen bijvoorbeeld zwaardere eisen aan de
grondslag van toestemming.
- Uitbreiding verplichtingen verwerkingsverantwoordelijke
NB. 1
Gegevensbescherming m.b.t. de telecommunicatiesector (denk aan cookiewetgeving) niet in
AVG. Aparte regels in:
- e-privacyrichtlijn;
- straks de e-privacyverordening.
NB. 2
Gegevensbescherming en de voormalige derde pijler van de EG: politiële en justitiële
samenwerking. Aparte regels in:
- Kaderbesluit 2008/977;
- Nu in richtlijn 2016/680.
, Kennisclip 3 – De ontwikkeling van het gegevensbeschermingsrecht in Nederland + het
belang voor ondernemers
Ontwikkeling gegevensbeschermingsrecht in Nederland
- 1988: Wet persoonsregistraties
- 2001: Wet bescherming persoonsgegevens
- De AVG en Uitvoeringswet AVG
De AVG heeft nog steeds richtlijn-achtige trekken. Wat wordt daar mee bedoeld? De
verordening laat op bepaalde onderdelen nog ruimte voor nationale wetgevers om daar zelf
bepaalde keuzes in te maken en zelf bepaalde wetgeving in stand te brengen. Daarom
kennen we in Nederland ook de Uitvoeringswet AVG.
- Nationaal recht vs. verordening
- HvJ EG 15 juli 1964 Costa/E.N.E.L. Ecli:EU:1964:66
- Prejudiciële vragen: art. 267 VWEU
Open normen AVG
- Open normen heeft ook te maken met het bijzondere karakter van de AVG. Op veel
onderdelen is geprobeerd om het techniek neutraal te formuleren en zijn er dus veel open
normen die dus nog nader moeten worden ingevuld.
- Bij de invulling van die open normen kunnen heel veel actoren een rol spelen (bijv.
Europese wetgever, nationale wetgevers, EDPB).
- EDPB: samenwerking tussen alle nationale toezichthouders en de Europese
toezichthouders. Dit comité zal een belangrijke rol gaan spelen bij het invullen van de open
normen, zij zullen gezamenlijk richtlijnen uitvaardigen, aanbevelingen doen etc. =
pseudowetgeving, het is juridisch niet bindend maar in de praktijk zal het wel invloedrijk zijn
(soft law).
- Uiteindelijk is het HvJ degene die daadwerkelijk bepaald hoe de open normen ingevuld
moeten worden.
- De jurisprudentie is erg belangrijk bij de invulling van de open normen.
Complexiteit gegevensbeschermingsrecht
- Technologische complexiteit: de AVG is zoveel mogelijk technisch neutraal geformuleerd,
maar daarbij zijn er veel vage normen en open normen.
- Juridische complexiteit: het kent heel veel nationale en Europese rechtsbronnen, er zijn
heel veel regelingen die elkaar hebben opgevolgd en nu ook nog naast elkaar bestaan. Er zijn
heel veel actoren betrokken bij de invulling en interpretatie van de AVG, maakt het ook
juridisch gezien complex.
- Maatschappelijke complexiteit: vaak tegenstrijdige belangen door verschillende actoren.
Bedrijven willen weinig regels, burgers willen recht op bescherming.
- Privacyparadox: wanneer iemand zegt dat hij privacy belangrijk vindt maar hij er eigenlijk
niet of nauwelijks naar handelt.
Belang voor ondernemers
- Boetes (max 4% van de wereldwijde jaaromzet, max 20 miljoen)
- Gebruikmaken van mogelijkheden
- Image, betekenisvol ondernemen
