Hoewel de GDPR reeds in werking is getreden op 25 mei 2016, wordt de GDPR op vrijdag 25 mei 2018 pas echt van toepassing. Concreet betekent dit dat we het weekend ingaan met een nieuwe wetgeving rond gegevensbescherming, en dat de oude wetgeving hieromtrent niet langer van toepassing zal zijn.

Het is zover! Nadat de GDPR reeds in werking was getreden op 25 mei 2016, - en u de laatste tijd waarschijnlijk een overload aan informatie hierover hebt ontvangen - wordt deze vandaag vrijdag 25 mei 2018 dan ook eindelijk van toepassing. In België zal ze de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens vervangen.

1. Specifieke Belgische wetgeving?

De termijn van twee jaar tussen de inwerkingtreding en het van toepassing worden van de GDPR werd enerzijds voorzien om de lidstaten de mogelijkheid te geven om hun nationale wetgeving op punt te stellen.

Zo wordt in de GDPR onder andere bepaald dat lidstaten bij wet of bij collectieve arbeidsovereenkomst nadere regels konden vaststellen met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Meer bepaald kan dit gaan over regels in het kader van aanwerving, de uitvoering van de arbeidsovereenkomst (met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen), het beheer, de planning en de organisatie van de arbeid, gelijkheid en diversiteit op het werk, gezondheid en veiligheid op het werk, bescherming van de eigendom van de werkgever of de klant dan wel met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding. Ook buiten het HR-luik bevat de GDPR verschillende “openstellingsbepalingen” die door de lidstaten kunnen worden verduidelijkt, uitgevoerd of aangevuld.

Net zoals de meeste Europese landen zal België naast de GDPR nog een aparte Belgische wet hebben ter bescherming van de persoonsgegevens van natuurlijke personen. Evenwel is er voorlopig nog slechts sprake van een voorontwerp van wet hieromtrent, en is er dus nog geen finale wetgeving. Het blijft vooralsnog afwachten wanneer de uiteindelijke wetgeving hieromtrent verwacht kan worden, maar er kan vermoed worden dat de finale wetgeving omtrent verwerking van persoonsgegevens retroactief in werking zal treden op 25 mei 2018.

2. Gevolgen voor verwerkingsverantwoordelijken?

De termijn van twee jaar werd anderzijds ook voorzien om ondernemingen de kans te geven om tegen 25 mei 2018 hun verwerkingsactiviteiten op punt te zetten en op een juiste manier te omkaderen.

Alle verwerkingsactiviteiten zouden op het niveau van de verwerkingsverantwoordelijke aldus tegen vandaag in lijn gebracht moeten zijn met de GDPR, ook al voldeden ze daarvoor aan de wet van 8 december 1992.

Hierbij dient rekening te worden met de uitgebreide sanctiebevoegdheid, inclusief de mogelijkheid om hoge  administratieve geldboetes - tot 20.000.000 EUR of 4% van de wereldwijde omzet - op te leggen, die de Gegevensbeschermingsautoriteit (de nieuwe naam die de Privacycommissie vanaf vandaag zal hebben), De Gegevensbeschermingsautoriteit heeft wel al aangekondigd niet meteen naar die astronomische boetes te zullen teruggrijpen, maar in eerste instantie eerder adviserend en regulerend op te treden door het opleggen van een regularisatie, waarschuwing of berisping. 

Meer bepaald dienen verwerkingsverantwoordelijken concreet - onder meer en zonder exhaustief te zijn - het volgende in orde te hebben gebracht:

• Voor elke verwerkingsactiviteit moet de juiste rechtsgrond bepaald worden. Wordt een beroep gedaan op toestemming, dan moet deze voldoen aan de strengere voorwaarden van de GDPR, dit wil zeggen vrij, geïnformeerd, specifiek, ondubbelzinnig en intrekbaar zijn.
   
• Vanaf vandaag zullen de meeste verwerkingsverantwoordelijken en verwerkers een register moeten bijhouden van alle verwerkingsactiviteiten die onder hun verantwoordelijkheid gebeuren. De Gegevensbeschermingsautoriteit zal dit register steeds kunnen opvragen om toezicht te houden op de verwerkingsactiviteiten. Hiervoor moet er onderzocht zijn geweest welke persoonsgegevens er door de verwerkingsverantwoordelijke worden verwerkt, waar die vandaan komen, met wie welke gegevens worden gedeeld, op welke rechtsgrond er beroep gedaan wordt voor de verwerking, of de beveiligingsmaatregelen op punt staan, enzovoort.
   
• Sommige verwerkingsverantwoordelijken zullen een “Data Protection Officer” aangesteld moeten hebben.
   
• Verwerkingsverantwoordelijken zullen aan de betrokkenen de correcte informatie omtrent de verwerking van hun persoonsgegevens bezorgd moeten hebben, alsook hun overeenkomsten met hun verwerkers aangepast moeten hebben. Het is ook mogelijk dat er bestaande policies aangepast moesten worden, of dat er nieuwe policies opgesteld moesten worden.
   
• Bevestigingen die door de toenmalige Privacycommissie verleend werden met betrekking tot de doorgifte van persoonsgegevens aan derde landen zonder een passend beschermingsniveau op basis van passende waarborgen, zoals contractuele bepalingen, blijven van kracht tot zij eventueel worden gewijzigd, vervangen of ingetrokken. 
   

En u? Bent u klaar?