Akkoord over Europese gegevensbescherming

Communication / News

BDMA vignette

Europese Commissie, Europees Parlement en de Europese Raad van ministers zijn het eens geraakt over het voorstel omtrent een 'Algemene Verordening Gegevensbescherming'. De onderhandelaars bereikten dinsdagavond 5 januari een akkoord. Hiermee zijn de zogenaamde Trialoog-discussies afgerond. De LIBE-commissie van het Europees Parlement heeft de tekst goedgekeurd met 44 stemmen tegen vier, met vier onthoudingen. Na de formele goedkeuring van de tekst door de instellingen, zal er een implementatieperiode van twee jaar volgen. Hierna volgt een kort overzicht van wat overeengekomen is.

Het belangrijkste strijdpunt voor de Europese Data-Driven-industrie in de afgelopen vijf jaar was het rechtmatig belang van de controller om toegang te hebben tot de persoonsgegeven, zo meldt de Belgian Direct Marketing Association (BDMA). Men is teruggekomen van het zwaar beperkende voorstel van het Europees Parlement en in de definitieve versie is men terug naar een formulering gekomen dat vergelijkbaar is met die in de huidige directieve. Hierdoor kunnen marketeers rechtmatig toegang tot gegevens hebben zonder systematisch toestemming van de individuen te moeten verkrijgen.

De definitie van de toestemming is het centrale thema van de tekst. De omschrijving van uiteindelijke tekst is vergelijkbaar met de definitie van toestemming in de huidige richtlijn en laat een zekere flexibiliteit toe, echter door de nadruk te leggen op het belang van gegeven informatie aan het individu. De kwestie die nu de meeste bezorgdheid bij de industrie opwekt betreft kinderen. In wat lijkt op een last minute-wijziging door het Europees Parlement aangebracht, zullen minderjarigen onder de 16 jaar (voorheen 13 jaar) toestemming van de ouders nodig hebben om persoonlijke gegevens te verstrekken. De tekst voorziet ook de mogelijkheid voor de lidstaten om deze vereiste in hun eigen wetgeving te verlagen tot 13 jaar. Een zorgwekkende bepaling, zegt de BDMA, vooral voor sociale media zoals Facebook of Snapchat, met betrekking tot de mogelijkheid hun diensten aan jongeren aan te bieden. Ook de bepaling over profilering, omgedoopt tot "geautomatiseerde individuele besluitvorming, waaronder profiling", zullen nauwgezet moeten geïnterpreteerd worden in de implementatie. In tegenstelling tot de vorige formulering, voorgesteld door het Europees Parlement, zorgt de uiteindelijke overeengekomen tekst voor een evenwichtigere benadering. Er is geen verbod op profilering, maar de tekst vraagt specifieke waarborgen voor profilering die rechtsgevolgen teweegbrengt voor het individu of die een aanzienlijk impact op hem heeft. Op verzoek van het Europees Parlement verduidelijkt de tekst dat wanneer er een individuele opt-out voor direct marketing is, er ook een opt-out is voor profilering in verband met dergelijke direct marketing.

Terwijl de Commissie en de Raad gepleit hebben voor boetes tot 2% van de wereldwijde omzet van bedrijven als zij niet voldoen aan de regels, heeft het Europees Parlement gepleit voor een drempel van 5%. Onderhandelaars hebben een drempel van 4% vastgelegd. De onderhandelaars opteerden ook voor de verplichte aanstelling van Data Protection Officers. Kleine en middelgrote ondernemingen zijn vrijgesteld van deze verplichting voor zover de verwerking van gegevens niet behoort tot hun kernactiviteiten.

De verordening heeft ook als doel het creëren van een One Stop Shop voor bedrijven. De bereikte overeenkomst is echter al het voorwerp geweest van zware kritiek van de industrie. Terwijl de Data Protection Authorities (DPA) verder zullen moeten samenwerken, behouden ze elk een zekere macht om te grensoverschrijdende zaken te behandelen. Dit beperkt in de praktijk de voordelen van de One Stop Shop voor bedrijven...