De GDPR, acht maanden later. Is mijn onderneming mee? (2)
Praktisch
Binnen één maand zou gevolg moeten worden gegeven aan het verzoek van de betrokkene. Deze termijn is verlengbaar met twee maanden indien het een complex geval betreft.
De betrokkenen kunnen hun rechten in principe kosteloos uitoefenen. Dit betekent dat er in principe niets mag worden aangerekend voor de uitoefening door de betrokkene. Er bestaat een uitzondering op dit principe van kosteloosheid wanneer het verzoek ongegrond of buitensporig is. In deze gevallen mag een redelijke vergoeding gevraagd worden of het verzoek van de betrokkene worden geweigerd.
Accountability
Het accountability principe wordt geïntroduceerd door de GDPR en betekent dat van organisaties wordt vereist dat ze de juiste technische en organisatorische maatregelen nemen om te voldoen aan de principes en verplichtingen in de wet én dit kunnen aantonen. Het accountability principe valt uiteen in twee verschillende verplichtingen, nl. de documentatieverplichting en in sommige gevallen van grote verwerking een privacy impact assessment.
De verplichting om de gegevensverwerking te melden bij de toezichthouder komt te vervallen. In de plaats is er wel een documentatieverplichting ingevoerd. Deze verplichting wordt regelmatig over het hoofd gezien maar is toch van een aanzienlijk belang. De verwerkingsverantwoordelijke of verwerker is immers verantwoordelijk voor kortweg de naleving van de verplichtingen in de GDPR en moet dit kunnen aantonen.
De documentatieverplichting houdt in dat de verwerkingsverantwoordelijk gegevens dient bij te houden over:
- De naam en contactgegevens van de verwerkingsverantwoordelijke
- De verwerkingsdoeleinden
- Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens
- De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties
- Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
- Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
Deze verplichting is niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens betreft.
Om hieraan te voldoen kan het best gebruik gemaakt worden van de modellen die de Privacy Commissie op haar website ter beschikking stelt.
Er rust ook een meldingsplicht op de verwerker of verwerkingsverantwoordelijke ingeval van een data lek. Deze melding dient zowel te gebeuren aan de toezichthoudende autoriteit als de betrokkene in de in de GDPR beschreven gevallen.
Sancties
Naast de mogelijke veroordeling tot het betalen van een schadevergoeding dient ook rekening gehouden te worden met de administratieve geldboeten die de toezichthoudende autoriteit kan opleggen.
Deze administratieve geldboeten kunnen oplopen tot maximaal 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dat laatste hoger is. Natuurlijk worden deze geldboeten afgetoetst aan de concrete situatie.
Of de toezichthoudende autoriteit snel zal overgaan tot het opleggen van deze geldboeten, zeker voor kleine ondernemingen, zal de toekomst uit moeten wijzen.