• No results found

Beschrijving van de nieuwe verordening in relatie tot de huidige wetgeving 32

Hoofdstuk 4. De nieuwe verordening 31

4.2 Beschrijving van de nieuwe verordening in relatie tot de huidige wetgeving 32

De Avg blijft net zoals de richtlijn, van toepassing op de verwerkring van persoonsgegevens. Toch is met de komst van de verordening geprobeerd de definitie van het begrip persoonsgegeven aan te passen en de reikwijdte te verbreden. De verandering zou meebrengen dat er niet alleen sprake is van een persoonsgegeven als het gaat om iemand die daadwerkelijk geïdentificeerd kan worden als persoon, maar ook als deze uitsluitend kan worden onderscheiden van een andere persoon.117 De identiteit van de persoon hoeft op dat moment niet zelf bekend te zijn. Dit is uiteindelijk niet zo ver gekomen. Ook de Nederlandse regering had een andere opvatting hierover. Zo brachten zij in 2012 hier al een standpunt over naar buiten.118 De definitie is uiteindelijk hetzelfde gebleven zoals deze in de richtlijn was neergelegd. Een grote verandering is de territoriale reikwijdte van de richtlijn, De Avg is ook

                                                                                                                         

112 Standpunt Europees Parlement in eerste lezing 12 maart 2014, (7427/14) 113 Algemene oriëntatie van de Raad, 15 juni 2015, (9565/15)

114http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN 115 Zie artikel 99 lid 1 Avg

116http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm   117 C.C.M. Kroeks- de Raaij, R.J.J. Westerdijk en G.J. Zwemmer, De algemene verordening

gegevensbescherming, Tijdschrift voor Internetrecht, nr 2. Juni 2016

-­‐33-­‐  

van toepassing op verwerking van persoonsgegevens van personen die in de Europese Unie verblijven terwijl de vestiging waar de verwerking van deze gegevens plaatsvindt niet binnen de Europese Unie gelegen is.119 Dit laatste is een verruiming van de territoriale reikwijdte van

de richtlijn maar is wel in overeenstemming met de uitspraak van het Hof van Justitie in de Google/Spain zaak.120 Het enige grote verschil is dat niet langer de nationale wetgeving leidend is, maar dat de Avg zelf bepaalt wanneer deze van toepassing is.121

4.2.1 Arbeidsverhouding

Op het terrein van het arbeidsrecht is er een opmerkelijke aanpassing gekomen. Waar de richtlijn van toepassing is verklaard op het arbeidsrecht door het algemene karakter, zijn de arbeidsverhoudingen in de Avg zelf bepaald. In artikel 88 wordt de verwerking in het kader van de arbeidsverhouding geregeld. Ook over dit punt is veel discussie geweest tussen de Commissie en het Parlement. De Commissie wilde aan de lidstaten ruimte laten om binnen de grenzen van de verordening voorschriften vast te stellen, waar het Parlement minimumvoorschriften wilde bieden.122 Uiteindelijk is vastgelegd dat het aan de lidstaten zelf wordt overgelaten om regels te stellen ofwel bij wet ofwel bij collectieve overeenkomsten. De lidstaten zijn wel verplicht uiterlijk bij de toepasselijkheid van de Avg de wetgeving aan de Commissie mee te delen.

Artikel 88 van de Avg ziet ook toe op de werving van werknemers. Dit is gewijzigd ten opzichte van het huidige beleid in de Wbp. Dat betekent dat Nederland op dat punt wetgeving zal moeten opstellen. In een tijd waarin een grote meerderheid van de werkgevers hun sollicitanten eerst screenen lijkt me dit een goede verandering ter bescherming van de potentiële werknemer.123 Ook bestaat er in de arbeidsverhouding een minimumnorm die het doel beschermt van de verwerking van gegevens.

In eerdere stadia van de verordening stond expliciet vermeld dat er in een relatie waarbij er een ongelijkheid bestaat, zoals een arbeidsrelatie, toestemming van de werknemer onvoldoende was om over te gaan tot gegevensverwerking. De gedachte hierachter was dat er

                                                                                                                         

119 R. Chavannes, A. Verhulst en A. Strijbos, Kroniek technologie en recht 2015-2016, Nederlands Juridisch

blad, 2016/1822

120 Hof van Justitie 13 mei 2014, C-131/12 (Google/Spain)

121 C.C.M. Kroeks- de Raaij, R.J.J. Westerdijk en G.J. Zwemmer, De algemene verordening

gegevensbescherming, Tijdschrift voor Internetrecht, nr 2. Juni 2016

122 Standpunt Europees Parlement in eerste lezing 12 maart 2014, (7427/14) 123 A. van den Bosch, netwerksites als screeningstool, UVA 2010

-­‐34-­‐  

binnen een arbeidsrelatie nooit eenzelfde mate van gelijkheid bestaat en dat die toestemming nooit echt in vrijheid gegeven kan zijn. Deze bepaling is niet op deze wijze terug te vinden in de definitieve tekst van de Avg. De toestemming zelf komt terug in artikel 7. Hier staat echter alleen dat de betrokkenen toestemming moet verlenen alvorens het overgaan tot verwerking. Met de onderhandelingen over de conceptversie is op dat punt een compromis gesloten. In de conceptversie had de Commissie het zo geformuleerd dat er in een onevenwichtige relatie, zoals het arbeidsrecht, er nooit sprake kan zijn van een gegeven toestemming in volledige vrijheid. Het monitoren zou in dat geval dus nooit enkel kunnen berusten op de toestemming van de werknemer. Het parlement was van mening dat er wel sprake kon zijn van een vrijwillige toestemming in een dergelijke relatie, indien de onderliggende partij naderhand ook vrij was om de toestemming weer in te trekken.124 In de lijn met dit artikel is in de Avg het recht om vergeten te worden opgenomen.125 Dit doet zich met name voor in een situatie waarin een kind akkoord is gegaan met persoonsverwerking maar dit later toch ongedaan wil maken. In een dergelijke situatie bestaat het recht om vergeten te worden en kan de eerdere verleende toestemming ingetrokken worden.

Ook de heimelijke controle van de werknemer door de werkgever wordt door de Avg verboden. Hier kan door de lidstaten van worden afgeweken indien er werkelijke

aantoonbare aanknopingspunten zijn tot verdenking van een strafbaar feit of sprake zijn van ernstige plichtsverzuim.126 Dit sluit aan bij wat ik in hoofdstuk 3 heb besproken over het

heimelijk toepassen van cameratoezicht. Toch wordt in de Avg het kenbaarheidsvereiste zoals wij dit nu in de Wbp kennen niet genoemd.

Zoals hierboven aangegeven volgt uit artikel 88 van de Avg dat lidstaten zelf wetgeving omtrent arbeidsverhoudingen moeten opstellen. Er zal dus in de nationale wetgeving een grondslag gecreëerd moeten worden om de controle van de werknemer te regelen. Hierbij moet gedacht worden aan e-mail-, internet- en telefooncontrole volgens het parlement.127 Dezelfde eis geldt hier als bij het heimelijk toezicht, er moeten daadwerkelijke aanknopingspunten zijn tot verdenking van een strafbaar feit. Op grond van de Wbp wordt een dergelijk onderzoek gestoeld op het gerechtvaardigd belang uit artikel 8 f Wbp.

                                                                                                                         

124 H. de Vries, Nieuw licht op de elektronische schaduw, Tijdschrift Arbeidsrechtpraktijk, 2014/360 125 Artikel 16 lid 2 Avg

126 H. de Vries, Nieuw licht op de elektronische schaduw, Tijdschrift Arbeidsrechtpraktijk, 2014/360 127 Standpunt Europees Parlement in eerste lezing 12 maart 2014, (7427/14)

-­‐35-­‐   4.2.2.1 Meldingsplicht

Zoals in hoofdstuk 3 al is benoemd is in Nederland onlangs de wet Meldplicht Datalekken ingevoerd. Op basis van die wet is het bedrijf in geval van een ernstige datalek verplicht dit te melden aan de Autoriteit Persoonsgegevens. De meldplicht bij datalekken is nu ook verankerd in de verordening.128 Een groot verschil is dat de meldplicht niet enkel bij ernstige datalekken geldt maar bij elk lek van data waar persoonsgegevens mee gemoeid zijn. Hier zit wel een tenzij clausule aan verbonden. De verantwoordelijke voor de dataverwerking moet kunnen aantonen dat het lek risico’s met zich meebrengt voor persoonsgegevens. Ook moeten onder de Avg de betrokkene onverwijld op de hoogte gesteld worden indien het lek een waarschijnlijk hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Momenteel hoeft niet in elke situatie de betrokkene ingelicht te worden en zeker niet onverwijld. Dit is ook toegestaan als het datalek is opgelost en de gegevens zijn beschermd.129

4.2.1.2  Sancties  

Wellicht de grootste aanpassing van de richtlijn voorziet in de sanctiebevoegdheden van de Autoriteit Persoonsgegevens. Er kunnen onder het huidige beleid voor maar een beperkt aantal overtredingen van de Wbp een boete worden opgelegd. Sinds begin dit jaar zijn de boetes in Nederland reeds opgehoogd tot een maximum van €820.000 of 10 procent van de gehele omzet indien de zesde categorie uit het wetboek van strafrecht in onvoldoende mate in een passende bestraffing voorziet. Deze boetes zijn met de invoering van de Avg nog eens verhoogd. De maximale geldboete die opgelegd kan worden door de bevoegde autoriteit is €20 miljoen of 4 procent van de totale wereldwijde jaaromzet.130 Daarnaast is de mogelijkheid tot boeteoplegging verruimd. In het huidige beleid moet voorafgaand aan een boeteoplegging door de toezichthouder een bindende aanwijzing worden opgelegd. Dit wordt uitsluitend niet vereist indien er sprake is van een opzettelijke overtreding of gevolg is van ernstige verwijtbare nalatigheid.131 Er bestaan op grond van de Algemene wet bestuursrecht alternatieve, minder vergaande instrumenten die geacht worden eerst te worden ingezet. Met de komst van de Avg zal een dergelijke aanwijzing van de toezichthouder niet langer nodig zijn en kan er direct overgegaan worden tot boeteoplegging.

                                                                                                                          128 Artikelen 33 en 34 Avg

129 Cbp, Beleidsregel meldplicht datalekken, 30 december 2015 130 Artikel 83 Avg

-­‐36-­‐  

Download het nu "Privacy in de arbeidsr..."

Outline

GERELATEERDE DOCUMENTEN