Richtlijnen en toelichting bij de AVG
Richtlijnen bij de algemene verordening gegevensbescherming
Richtlijnen bij de algemene verordening gegevensbescherming
De Autoriteit Persoonsgegevens (AP) heeft samen met de andere Europese privacytoezichthouders een aantal begrippen uit de algemene verordening gegevensbescherming (AVG) van een toelichting voorzien en hiermee verduidelijkt.
De Europese privacyrichtlijn is de afgelopen jaren herzien en geactualiseerd. Het resultaat hiervan is de “algemene verordening gegevensbescherming”. Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening wordt met ingang van 25 mei 2018 van kracht en wordt rechtstreeks van toepassing in alle EU-lidstaten. Er geldt vanaf 25 mei 2018 op deze manier nog maar één privacywet in de hele EU. Vanaf deze datum hebben organisaties die persoonsgegevens verwerken meer verplichtingen dan nu het geval is. Er wordt in de verordening meer nadruk gelegd op de verantwoordelijkheid van de persoonsgegevens verwerkende organisaties zelf om de wet na te leven en om te kunnen aantonen dat zij zich aan de wet houden. De verordening biedt deze organisaties instrumenten die hen helpen om de wet op een correcte manier na te leven. Bijvoorbeeld door middel van een aantal modelbepalingen.
De privacytoezichthouders hebben richtlijnen en een overzicht met frequently asked questions opgesteld over het recht op data portabiliteit, het aanstellen en de rol van een Functionaris Gegevensbescherming (ofwel de Data Protection Officer), en het systeem van één leidende toezichthouder. Deze informatie is te vinden op de website van de AP en via deze link. Hieronder een korte uiteenzetting:
Data portabiliteit
De nieuwe privacywet geeft betrokkenen (dat zijn degenen van wie persoonsgegevens worden verwerkt) het recht op data portabiliteit. Dit is het recht dat betrokkenen hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Vervolgens kunnen de betrokkenen deze gegevens zelf opslaan voor persoonlijk gebruik en kunnen ze de gegevens doorgeven aan een andere organisatie. De persoonsgegevens moeten aan de betrokkenen worden overgedragen in een gestructureerd, veelgebruikt en leesbaar formaat. In de richtlijnen wordt meer duidelijkheid gegeven over welke persoonsgegevens organisaties moeten verstrekken en hoe zij dit moeten doen.
Functionaris Gegevensbescherming/ Data Protection Officer
Onder de AVG wordt het in sommige situaties verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. De meer gebruikte naam voor een FG is een Data Protection Officer (DPO). De richtlijnen geven aan in welke gevallen deze functionaris moet worden aangesteld en wat zijn rol. De richtlijnen gaan in op het aannemen van een FG/ DPO, de functie van de FG/DPO en zijn taken. De richtlijnen bieden organisaties een hulpmiddel om zich voor te bereiden op de aankomende verplichtingen.
Leidende privacy toezichthouder
Onder de AVG wordt er een systeem ingevoerd om te bepalen welke Europese privacy toezichthouder de aangewezen instantie is om op te treden als er een overtreding is die effect heeft in meerdere Europese landen. De hoofdregel is dat de toezichthouder van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd, de leiding neemt. Deze autoriteit wordt dan de leidende toezichthouder. Hij stemt zijn optreden af met toezichthouders in de andere Europese landen waar de overtreding effect heeft.